Come gestire gli account di posta elettronica aziendale dei dipendenti

La posta elettronica costituisce oggi il principale strumento di lavoro per la maggioranza dei lavoratori dipendenti. La diffusione delle mail nel giro di pochi anni ha investito l’intera società, tanto che ormai ai lavoratori viene assegnato un account di posta elettronica aziendale sin dalla assunzione e per tutta la durata del rapporto di lavoro. L’utilizzo di un simile strumento, tuttavia, non di rado avviene in modo inconsapevole da parte delle aziende, col rischio di incorrere anche in pesanti sanzioni.

 1. Rischi e disciplina interna

L’account di posta elettronica aziendale costituisce a tutti gli effetti uno strumento di lavoro e, in quanto tale, richiede una regolamentazione specifica, volta a prevenire utilizzi impropri e a consentire, in caso di abusi, di sanzionare sul piano disciplinare i lavoratori che ne fanno un uso scorretto. L’utilizzo della posta elettronica, così come di una connessione internet e più in generale di strumenti informatici (PC, Smartphone, Tablet, VPN, ecc…), per rendere la prestazione lavorativa, investe diversi ambiti del rapporto di lavoro, che riguardano sia il rapporto tra il lavoratore e il datore di lavoro sia il rapporto tra il lavoratore e i clienti e i soggetti terzi.

Nel rapporto tra il lavoratore e il datore di lavoro è sempre opportuno, in caso di assegnazione di un account di posta elettronica aziendale, precisare le modalità in cui tale strumento può essere utilizzato e, parallelamente, quali utilizzi sono invece vietati. Tale disciplina, che di regola è contenuta in un regolamento aziendale valido per tutti i lavoratori, risulta essenziale in particolare quando l’account viene assegnato personalmente al lavoratore, spesso riportando il suo stesso nominativo nell’indirizzo mail. In tali casi, infatti, il lavoratore potrebbe convincersi che l’indirizzo mail può essere utilizzato anche per fini personali e, in assenza di una disciplina specifica in tal senso, non potrebbe neppure essere sanzionato per un simile utilizzo di tale strumento potenzialmente rischioso per l’azienda.

La sanzione disciplinare, infatti, tanto per l’utilizzo di strumenti informatici quanto in altri ambiti, richiede che il comportamento contestato sia espressamente vietato da una norma del Contratto Collettivo o da un regolamento interno. In assenza di una disciplina che vieti un determinato comportamento, anche solo circoscrivendo quali sono gli utilizzi consentiti di uno strumento, risulta complesso – se non spesso impossibile – sanzionare il lavoratore dipendente, anche nel caso in cui da un comportamento improprio derivi un pregiudizio per l’azienda. Per questa ragione è sempre opportuno definire procedure specifiche per le attività effettuate dal lavoratore e, soprattutto, individuare in modo chiaro le modalità di utilizzo degli strumenti aziendali assegnati.

L’importanza di un regolamento interno che disciplini l’utilizzo della posta elettronica aziendale risulta tanto più evidente se si considerano i rischi di un potenziale uso improprio di tale strumento nel rapporto con i clienti o con i terzi. Risulta essenziale in tale prospettiva definire in modo chiaro quali sono le modalità di contatto con i soggetti esterni al contesto aziendale consentite al lavoratore, sia per prevenire eventuali attività in concorrenza o in danno all’azienda sia e soprattutto in considerazione dei dati personali e di tutte le informazioni riservate (organizzazione interna, know-how, procedure, segreti e brevetti aziendali, ecc…) che il lavoratore si trova a gestire in ragione del rapporto di lavoro, senza trascurare i profili di sicurezza informatica relativi alla corretta gestione della rete aziendale e della connessione internet.

 2. Il trattamento dei dati e il controllo a distanza dei lavoratori

L’utilizzo di un account di posta elettronica aziendale per rendere la prestazione lavorativa richiede una attenta analisi da parte del datore di lavoro, non solo per individuare e contenere i rischi di un potenziale utilizzo improprio dello strumento, ma anche per il fatto che, essendo uno strumento gestito dal datore di lavoro, potrebbe costituire una forma di controllo indiretto dell’attività del lavoratore, vietato dall’art. 4 dello Statuto dei Lavoratori (Legge 20 maggio 1970, n. 300). Sotto tale aspetto occorre prestare particolare attenzione perché sono state elevate sanzioni, in particolare in ambito Privacy, anche in ipotesi in cui i controlli non venivano concretamente effettuati dalle aziende ma erano solamente possibili, ad esempio perché venivano conservati dei dati relativi all’utilizzo delle mail in modo automatico da parte del Provider.

Il controllo indiretto dell’attività dei lavoratori, con riferimento all’utilizzo dell’account di posta elettronica aziendale, può avvenire secondo diverse modalità. Spesso il controllo avviene semplicemente mediante l’accesso all’account di posta elettronica, utilizzando le credenziali che di regola rimangono a conoscenza del datore di lavoro, che può anche revocarle o rigenerarle. Una forma di controllo indiretto dei lavoratori spesso trascurata dai datori di lavoro, che investe anche il diverso ambito del trattamento dei dati personali dei lavoratori, è quella posta in essere con la conservazione dei dati registrati dal fornitore del servizio (c.d. Provider) relativi alle mail inviate e/o ricevute, agli accessi all’account, ai relativi orari, ecc…

L’accesso all’account di posta elettronica aziendale, in quanto strumento fornito e, soprattutto, gestito dal datore di lavoro, è una pratica consentita, che tuttavia deve avvenire in modo trasparente e consapevole, in conformità alla normativa in vigore. Il lavoratore deve essere informato – ad esempio nello stesso regolamento interno che disciplina l’utilizzo dello strumento – che l’account di posta elettronica è uno strumento aziendale a cui il datore di lavoro e/o altri colleghi possono accedere in ogni momento per motivi di lavoro e che un utilizzo improprio dello stesso potrà essere sanzionato sul piano disciplinare.

3. I tempi di conservazione dei dati 

Più complessa è la questione relativa alla conservazione dei dati sull’utilizzo della mail da parte del Provider. Il fornitore del servizio di posta elettronica registra automaticamente una serie di informazioni relative all’utilizzo dell’account mail, si tratta non solo dei dati di accesso ma anche dei c.d. metadati delle mail inviate e ricevute, cioè di informazioni aggiuntive rispetto al semplice testo della mail (ad es. mittente, destinatario, ora di invio, dimensione, oggetto, stato di ricezione, indirizzo IP, ecc…) che vengono conservate automaticamente e spesso risultano utili anche per la organizzazione del lavoro ma che costituiscono a tutti gli effetti dati personali dei lavoratori e, in quanto tali, sono soggetti alla normativa in materia di Privacy.

Tali aspetti, in particolare sotto il profilo della conservazione dei metadati delle mail aziendali, sono stati recentemente trattati dal Garante della Privacy, l’Autorità indipendente preposta in Italia a definire linee di indirizzo e verificare la corretta attuazione della normativa in materia di trattamento di dati personali. L’Autorità ha avuto modo di precisare in un provvedimento adottato nei confronti della Regione Lombardia (Provv. del 29/04/2025 n. 10134221) che i tempi di conservazione dei metadati non possono essere superiori a 21 giorni, oltre tale termine la conservazione delle informazioni relative all’utilizzo della posta elettronica aziendale non viene ritenuta necessaria per rendere la prestazione lavorativa e, pertanto, è consentita unicamente ove espressamente autorizzata mediante la procedura prevista dall’art. 4 dello Statuto dei Lavoratori per gli strumenti che possono determinare un controllo a distanza dei lavoratori.

L’utilizzo di strumenti come la posta elettronica aziendale non può quindi prescindere da una attenta valutazione che investe diversi ambiti del rapporto di lavoro, a partire dalla organizzazione interna e dai rapporti con l’esterno, sino al potenziale controllo a distanza dei lavoratori e al trattamento dei dati personali. Tale valutazione, come rimarcato più volte dalla stessa Autorità Garante della Privacy, deve essere effettuata caso per caso, tenendo conto delle particolarità del contesto aziendale e dei rischi associati per i lavoratori, e impone al datore di lavoro in quanto Titolare del trattamento di adottare tutte le misure tecniche necessarie per la tutela dei dati personali dei lavoratori.

 

Lo Studio rimane a disposizione per l’analisi di casistiche specifiche.

Avv. Federico Mancini

 

Prato, 21 luglio 2025