Monday, February 8, 2021
Come utilizzare al meglio e in sicurezza la posta elettronica in azienda
La posta elettronica è lo strumento che ha sicuramente rivoluzionato ed agevolato - anche in termini di risparmio di tempo e costi - le relazioni e gli scambi commerciali, ma la comodità e la facilità d’uso nascondono talvolta alcune questioni legate alla sicurezza ed alla corretta modalità di utilizzo.

Nessuna o scarsa certezza nell’autenticazione del mittente.
Nessuna o scarsa riservatezza del contenuto.
Nessuna o scarsa verifica di integrità lungo il percorso di trasmissione del messaggio.
Nessuna o scarsa protezione contro messaggi indesiderati.

Sono questi solo alcuni dei limiti che lo strumento presenta dal punto di vista della sicurezza.

All’insicurezza propria dello strumento si aggiungono le modalità d’utilizzo adottate in azienda e poste in essere dai singoli al suo interno con risultati che spesso impattano pesantemente su rilevanti questioni di tutela dei diritti (personali e commerciali) connessi alle stesse attività aziendali.

Il diritto alla riservatezza della corrispondenza vale per la posta elettronica aziendale?
Il datore di lavoro può accedere alla corrispondenza del lavoratore?

La riservatezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili”.
Questo principio costituzionale (art. 15 Costituzione Italiana) che vale sicuramente per la corrispondenza cartacea e privata di ciascuno di noi, si applica anche alla posta elettronica aziendale?

Premettiamo che si intende “posta elettronica aziendale” quello strumento di lavoro fornito dal datore di lavoro al dipendente per svolgere le proprie mansioni.
Il problema sorge soprattutto quando l’indirizzo mail aziendale è composto anche dal nome e/o il cognome del dipendente (es. nome.cognome@nomeazienda.it).

Questi account di posta elettronica aziendale così composti, seppur associati al dominio dell’azienda, sono considerati in tutto e per tutto “dati personali” del lavoratore al quale fanno riferimento (ex art. 4 GDPR) e, di conseguenza, sottoposti alla normativa prevista a tutela dei dati personali.
In questi casi il datore di lavoro non può accedere liberamente alle caselle di posta elettronica dei propri lavoratori, pur trattandosi di posta elettronica aziendale; può farlo con alcune cautele.

Il datore di lavoro, per porsi al riparo da eventuali sanzioni può, in primo luogo, preferire l’utilizzo di account aziendali condivisi (es. commerciale@nomeazienda.it, amministrazione@nomeazienda.it ecc.) o comunque privi di riferimenti nominativi ai singoli dipendenti.
Tale accortezza, anche se non elimina totalmente il problema va a limitarlo non contenendo questo tipo di account alcun dato personale del lavoratore e dunque non potendosene presumere un utilizzo individuale.

Non sempre è possibile o vantaggioso utilizzare account aziendali condivisi o non nominativi, è quindi necessario conoscere i rischi connessi ed intervenire con consapevolezza sulle possibili criticità, cautelandosi e regolamentando l’utilizzo degli account di posta elettronica aziendali.
Resta, infatti, la necessità del datore di lavoro di poter accedere alla corrispondenza aziendale, soprattutto qualora vi siano delle stringenti motivazioni legate alla continuità dell’attività economica aziendale e/o di sicurezza del sistema informatico.

Per rendere possibile - in modo lecito - quest’attività, il datore di lavoro deve fornire una corretta informazione al lavoratore sulle condizioni di utilizzo dello strumento aziendale, indicando le modalità e le motivazioni che possono caratterizzare l’accesso ed il controllo (legittimi) del datore di lavoro rispetto a questo strumento.
Adottare unospecifico regolamento aziendale che disciplini l’utilizzo degli strumenti messi a disposizione dal datore di lavoro (caselle di posta, connessione internet, pc, smartphone, ecc.) è il primo passo per un corretto ed efficace modello di gestione della problematica.

La regolamentazione aziendale permette al datore di lavoro l’accesso alle caselle di posta dei propri dipendenti, a determinate condizioni e con alcune cautele, in maniera legittima e sicura

Cosa succede quando occorre dismettere una casella di posta elettronica?
E in caso di risoluzione repentina del rapporto di lavoro?

Una situazione spesso sottovalutata è quella della dismissione delle caselle di posta dei lavoratori non più in forze in azienda. La circostanza è tanto più importante nel caso di caselle di posta nominative.

Spesso le caselle di posta del personale non più in forze non vengono dismesse; alcune volte non solo non vengono disattivate ma anzi continuano ad essere utilizzate ancora per lunghi periodi anche per l’invio di mail e non solo per la ricezione.

Il datore di lavoro, per motivi di continuità dell’attività aziendale e sicurezza del sistema, può accedere esclusivamente alla corrispondenza strettamente necessaria a garantire continuità e sicurezza, mentre non può in alcun modo inviare messaggi a nome del dipendente non più in azienda, salvo messaggi di avviso automatico che l’indirizzo non è più attivo indicando eventualmente il nuovo recapito da utilizzare.
Ed anche la deviazione della corrispondenza ad un indirizzo diverso può essere mantenuta solo per un periodo di tempo limitato.

In quei casi nei quali la risoluzione del rapporto avviene in maniera repentina (spesso collegata a situazioni di scontro o frizione tra datore di lavoro e lavoratore), che pone le parti su un terreno di scontro, una corretta gestione della casella di posta e della tutela della privacy può risultare fondamentale per evitare di incorrere in cause di lavoro.
Il Garante ha sottolineato la necessità che, anche di fronte a simili eventualità, si proceda alla disattivazione dell’account, avendo cura di informare i destinatari avvisandoli che le comunicazioni di carattere strettamente lavorativo dovranno essere inviate ad un nuovo indirizzo mail.
Tale disattivazione può anche non avvenire immediatamente dopo la risoluzione del rapporto, ma comunque dovrà essere effettuata entro un termine congruo.

Per poter svolgere tutte queste attività di dismissione in modo lecito e senza il rischio di incorrere in sanzioni o denunce, il datore di lavoro deve comunque informare il lavoratore della possibilità di effettuare queste operazioni, specificando inoltre di non utilizzare la casella di posta aziendale per fini personali.

Infine è bene ricordare che mantenere attivo un indirizzo email non presidiato risulta essere rischioso in termini di sicurezza informatica: soggetti malintenzionati potrebbero utilizzarlo per diffondere comunicazioni malevole ad altri utenti, mettendo a rischio tanto i destinatari quanto la stessa organizzazione aziendale del datore di lavoro.

Indirizzi di posta gratuiti? Meglio di no!

Infine una precisazione.

Molte aziende utilizzano per la corrispondenza aziendale domini ed indirizzi di posta attivati a titolo gratuito presso service provider che concedono questo tipo di servizi (es. @gmail, @yahoo, @hotmail, ecc.)

Occorre ribadire che si tratta di servizi non destinati ad un uso professionale e non indicati per questo utilizzo poiché le garanzie sulla disponibilità del contenuto delle caselle, sulle misure di sicurezza applicate e sulle condizioni di trattamento dei dati non sono comparabili con i servizi offerti a pagamento, che spesso offrono anche funzionalità aggiuntive rispetto ai profili gratuiti.

Moltissimi provider oggi offrono account e caselle di posta professionali a prezzi accessibili, permettendo anche alle aziende più piccole ed ai professionisti l'utilizzo di strumenti più sicuri ed efficienti.

In estrema sintesi
Il datore di lavoro può mettere in campo alcuni accorgimenti per evitare di violare la corrispondenza, i diritti ed i dati personali dei propri dipendenti ma allo stesso tempo utilizzare i dati e le informazioni contenute nelle caselle di posta dei propri lavoratori:
  • utilizzare, quando possibile, indirizzi e caselle di posta non nominativi;
  • predisporre una regolamentazione sulle modalità di utilizzo della posta elettronica e degli altri strumenti aziendali messi a disposizione dei lavoratori,  informando gli stessi sulle modalità con le quali il datore di lavoro potrà accedere ai contenuti della casella e svolgere eventuali attività di controllo;
  • gestire tempestivamente ed in modo corretto la dismissione delle caselle di posta aziendali;
  • evitare l’utilizzo di caselle di posta con dominio gratuito.
Il nostro ufficio resta a disposizione per qualsiasi chiarimento sulle corrette modalità di gestione ed utilizzo delle caselle di posta elettronica nel rispetto della normativa sulla privacy e a tutela dei lavoratori.

E-mail: gdpr@cnare.it 
Davide Piccinini – 0522 356340, Dario Varsalona – 0522 356612

Sei interessato a ricevere maggiori informazioni sulla consulenza GDPR completa offerta dal nostro ufficio?
Segui questo link e compila il questionario per essere ricontattato: CLICCA QUI