[GDPR e Servizi ICT] E-mail aziendale: come regolamentarne l’uso?

La mail è il principale strumento di comunicazione aziendale che, se utilizzato in modo non corretto, può comportare rischi per la sicurezza (ad esempio pregiudicando la riservatezza, l’integrità e la disponibilità delle informazioni aziendali o addirittura potendo trasformarsi in veicolo di infezioni per i terzi destinatari) e rendere vulnerabili i device in uso, esponendoli a virus o malware.

Inoltre, quando viene indicato il nominativo del dipendente (ad esempio: mario.rossi@alphasrl.it), l’indirizzo e-mail costituisce un dato personale tutelato dal Reg. UE 2016/679, in quanto strettamente riconducibile all’utente e al dato di contesto rappresentato dal nome dell’azienda datrice di lavoro.

Per tali ragioni, è importante che l’azienda espliciti in modo chiaro e completo le modalità d’uso degli strumenti informatici aziendali, tra cui sicuramente le mail, tenendo conto della realtà lavorativa, delle effettive esigenze aziendali e della normativa applicabile (sia a tutela del lavoratore che della privacy).

Policy d’uso interna: 5 indicazioni essenziali

1. L’esclusività dell’utilizzo della posta elettronica aziendale

Deve essere chiaramente specificato che l’indirizzo mail (anche se nominativo) è di proprietà dell’azienda e, quindi, utilizzabile unicamente per lo svolgimento dell’attività lavorativa ed è importante rendere noto al dipendente che l’utilizzo non conforme della posta elettronica può comportare un grave impatto sui sistemi di sicurezza aziendali.

2. Regolamentare le modalità d’uso di questo strumento, elencando delle linee guida a cui i lavoratori dovranno attenersi, come:

    • individuare preventivamente le categorie di lavoratori autorizzati all’uso e indicando le postazioni di lavoro dalle quali sarà possibile accedervi;
    • disciplinare l’impostazione delle password di accesso (anche attraverso programmi che le generano in automatico) e la loro conservazione, assicurandone la riservatezza;
    • evitare l’inoltro di messaggi in nome e per conto di altri utenti, a meno che non autorizzati;
    • controllare gli allegati e i link condivisi prima del loro utilizzo attraverso software antivirus e, se provenienti da mittenti sconosciuti, evitare l’apertura prima di un controllo da parte dell’IT;
    • crittografare i file che contengono dati personali e che devono essere inoltrati a destinatari esterni, comunicando la password di cifratura attraverso un canale separato;
    • attivare risposte automatiche o reindirizzamento ad altri indirizzi mail ad opera degli amministratori di sistema, in caso di assenza improvvisa o prolungata del dipendente;
    • determinare i casi di accesso, sempre attraverso gli amministratori di sistema, all’account del dipendente da parte dell’azienda che potrà visionare, salvare o cancellare messaggi e file in caso di imprescindibili esigenze organizzative e produttive (come: sicurezza sul lavoro o dei sistemi informatici, tutela del patrimonio aziendale);
    • informare i destinatari dell’eventuale natura non personale dei messaggi che, per questo, potranno essere conosciuti anche da altri soggetti dell’organizzazione e con rimando alla policy aziendale;
    • programmare e svolgere sessioni di formazione inerenti ai rischi derivanti da un uso errato o promiscuo della mail aziendale e sui comportamenti corretti per evitare la perdita della riservatezza dei dati aziendali e personali.

3. Indicare le limitazioni di utilizzo, esplicitando quali attività non eseguire attraverso la mail aziendale; per esempio, rientrano nei divieti:

    • l’invio di messaggi personali, estranei al rapporto di lavoro;
    • il download di allegati con contenuti digitali (come video, brani musicali, foto) non necessari per l’attività lavorativa;
    • l’iscrizione a piattaforme estranee al business aziendale (come forum o newsletter), salvo autorizzazione;
    • il forward automatico della mail aziendale ad una e-mail privata, permettendo la migrazione non autorizzata del contenuto dei messaggi a caselle di posta non riconducibili all’azienda.

4. L’indicazione della durata della conservazione delle e-mail da parte dell’azienda sui propri server.

L’arco temporale viene definito in base alla rilevanza del contenuto: se di rilevanza giuridica o commerciale sarà di 10 anni e riguarderà indistintamente la posta in entrata e in uscita; per tutto il resto, sarà invece l’azienda a determinare il tempo di conservazione, che comunque non dovrà essere superiore all’arco di tempo necessario al conseguimento delle finalità per i quali i dati sono trattati.

5. La consegna della policy d’uso ai dipendenti in modo tale da poterne dimostrare la condivisione (quindi, mediante consegna diretta con sottoscrizione per presa visione, e-mail o PEC) e dovrà essere resa accessibile a tutti attraverso, per esempio, la pubblicazione nel sito aziendale.

La casella di posta dell’ex dipendente

La gestione dell’e-mail aziendale necessita di una maggiore attenzione in caso di cessazione del rapporto di lavoro, soprattutto perché molto spesso le aziende mantengono attiva la casella di posta elettronica dell’ex-dipendente per un tempo indeterminato, assicurandosi la completa disponibilità della corrispondenza contenuta.

Per gestire correttamente le mail in tali ipotesi sia sotto un profilo privacy che giuslavoristico, l’azienda dovrà esplicitare nella policy d’uso anche le procedure di accesso alla casella di posta che saranno attuate in caso di interruzione del rapporto di lavoro. In particolare, è necessario che vi rientrino:

    • la disattivazione dell’account, predisponendo modalità idonee a interrompere definitivamente la ricezione di messaggi e la loro conservazione sui server aziendali;
    • l’installazione di sistemi automatici di risposta per informare i terzi della disattivazione dell’account e indicando ai mittenti indirizzi mail alternativi (non potendo predisporre un forward di posta automatico);
    • la rimozione dell’account entro un tempo ragionevole.

Talvolta, l’azienda può ritenere non necessaria la cancellazione dell’account dell’ex-dipendente, per esempio per garantire la continuità del business ed evitare la dispersione di informazioni rilevanti. Qualora venga ravvisata quest’esigenza, ne deve essere data indicazione nella policy d’uso, unitamente alle precedenti indicazioni, ed esplicitando un arco temporale massimo a seguito della quale l’account sarà rimosso.

Veronica Zanibellato

Veronica Zanibellato

Nata a Padova, laureata presso l’Università degli Studi di Padova, è stata abilitata alla professione forense nel 2020. Legal specialist presso società bancarie e immobiliari, occupandosi della redazione e della revisione dei contratti ha contribuito alla redazione di modelli contrattuali semplificati, volti a garantirne la trasparenza e l’equilibrio tra le parti coinvolte secondo l’applicazione del legal design. Si occupa di diritto civile, diritto societario, diritto immobiliare e contrattualistica. Pratica tennis e nuoto, nel tempo libero ama fare escursioni o leggere un buon libro.