Chiarimenti sull'accesso alla posta elettronica di dipendenti sospesi dal servizio...

Ho alcuni (!) assistenti amministrativi (tra cui anche la d.s.g.a.) sospesi dal servizio dall'UCPD. Desidererei essere in possesso delle loro password di accesso ai "loro" pc, ai "loro" indirizzi di posta elettronica istituzionale; da parte mia non c'è alcuna intenzione di usare questi strumenti dal punto di vista disciplinare, ma c'è solo il desiderio di verificare che non arrivino al loro indirizzo comunicazioni importanti per la scuola (a solo titolo di esempio le comunicazioni delle agenzie viaggio che arrivavano ad una specifica a.a. oggi sospesa o qualche comunicazione alla d.s.g.a da parte dei revisori dei conti). Quali forme posso usare? Quali riferimenti normativi per ricordare che tali strumenti (pc e indirizzi di posta) non sono personali, ma della scuola? Segnalo che ho anche il sospetto che alcuni dipendenti abbiamo appositamente cancellato file importanti da cartelle condivise per rendere più gravoso il già difficile lavoro di chi li sostituirà. Potreste consigliarmi qualche forma di pressione per avere le opportune informazioni al riguardo con specifici riferimenti normativi? Grazie

La situazione descritta nel quesito deve inquadrarsi all'interno del provvedimento del Garante sulla navigazione del dipendente, in attesa che vengano emanate le nuove Linee Guida in attuazione del Codice Privacy come modificato dal D.Lgs. n. 101 del 2018 e del Regolamento UE 2016/679. Il Dipartimento della Funzione Pubblica, facendo proprie le “Linee guida del Garante per posta elettronica e internet” (Del. 13 del 1 marzo 2007- documento web n. 1387522), è intervenuto con la Direttiva n. 2 del 26 maggio 2009. In essa, alla cui lettura integrale si rimanda, vengono ribadite le seguenti regole e principi generali cui le amministrazioni pubbliche debbono attenersi nell’esercizio del potere di controllo: - deve essere rispettato il principio di proporzionalità, che si concreta nella pertinenza e non eccedenza delle attività di controllo: le limitazioni della libertà e dei diritti individuali devono, infatti, essere proporzionate allo scopo perseguito. E' in ogni caso esclusa l’ammissibilità di controllo prolungati, costanti e indiscriminati; - inoltre, l’introduzione di tecnologie e di strumenti per il controllo sull’uso della rete e della posta elettronica deve essere fatto rispettando le procedure di informazione/consultazione delle rappresentanze dei lavoratori previste dai contratti collettivi; - infine, i lavoratori devono essere preventivamente informati dell’esistenza di dispositivi di controllo atti a raccogliere dati personali. Le citate linee guida del Garante per la Privacy avevano fissato alcuni punti fondamentali. a) il divieto generalizzato di effettuare controlli su e-mail e navigazione Internet in modo massiccio e permanente; b) informare i dipendenti e rendere trasparente l’utilizzo della posta elettronica e della navigazione INTERNET, nonché le varie possibilità e modalità di controllo; sono queste le condizioni essenziali minime per poter effettuare controlli sui lavoratori in caso di utilizzo anomalo degli strumenti informatici dell’ufficio e, soprattutto, per prevenire il contenzioso con i dipendenti e l’eventuale richiesta di risarcimento danni. L’informativa al dipendente ed il disciplinare interno rappresentano uno strumento di tutela preventiva dell’amministrazione. Alla luce di quanto sopra il datore di lavoro (e il dirigente scolastico, come è noto, è ad esso equiparato): a) deve fornire preventivamente ai dipendenti una informativa (ora prevista dall’articolo 13 del Regolamento) chiara e particolareggiata relativa ai trattamenti di dati che possono riguardarli; b) deve adottare un disciplinare/codice interno nel quale siano chiaramente indicate le modalità di utilizzo degli strumenti messi a disposizione del dipendente (le regole per l’uso di internet e della posta elettronica), nonché la possibilità di controlli da parte dell’azienda: in ciò informando e consultando le rappresentanze sindacali interne; c) deve implementare idonee misure organizzative, tecnologiche e di sicurezza In particolare, per quanto riguarda la possibilità di effettuare controlli, dalle “Linee guida” si evince che: a) il datore di lavoro non può installare apparecchiature per finalità di controllo a distanza dell’attività dei dipendenti e non può utilizzare sistemi hardware e software grazie ai quali sia possibile ricostruire l’attività dei dipendenti; b) qualora le misure preventive implementate non siano sufficienti a evitare comportamenti anomali, la verifica del corretto utilizzo nel rapporto di lavoro della posta elettronica e della rete internet deve essere effettuata con gradualità;. c) al verificarsi di comportamenti anomali, il dirigente deve effettuare un controllo anonimo su dati aggregati, riferito all’intera struttura amministrativa oppure a sue aree. Il controllo anonimo potrà concludersi con un avviso generalizzato relativo all’utilizzo anomalo degli strumenti dell’amministrazione e con l’invito ad attenersi scrupolosamente ai compiti assegnati ed alle istruzioni impartite ai dipendenti. Tale avviso potrà essere circoscritto anche solo a dipendenti appartenenti a una certa area in cui si è verificata l’anomalia. d) in assenza di successive anomalie riferite all’utilizzo degli strumenti, non è di regola giustificato effettuare controlli su base individuale; e) invece, qualora il comportamento anomalo si dovesse ripetere, il datore di lavoro (dirigente scolastico) potrà effettuare controlli su base individuale. Da ultimo, il Garante Privacy con Provvedimento del 13 luglio 2016 [Doc. web 5408460] ha ribadito che le verifiche indiscriminate sulla posta elettronica e sulla navigazione web del personale sono in contrasto con il Codice della privacy e con lo Statuto dei lavoratori. Il Garante ha osservato che l'infrastruttura adottata da un Ateneo consentiva la verifica costante e indiscriminata degli accessi degli utenti alla rete e all'e-mail, utilizzando sistemi e software che non possono essere considerati, in base alla normativa, "strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa". Tali software, infatti, non erano necessari per lo svolgimento della predetta attività ed operavano, peraltro, in background, con modalità non percepibili dall'utente. ( violando in tal modo lo Statuto dei lavoratori - anche nella nuova versione modificata dal cosiddetto "Jobs Act" – che in caso di controllo a distanza prevede l'adozione di specifiche garanzie per il lavoratore). Nel provvedimento il Garante ha rimarcato che l'Università avrebbe dovuto privilegiare misure graduali che rendessero assolutamente residuali i controlli più invasivi, legittimati solo in caso di individuazione di specifiche anomalie, come la rilevata presenza di virus. In ogni caso, si sarebbero dovute prima adottare misure meno limitative per i diritti dei lavoratori. L'Autorità ha infine riscontrato che l'Università non aveva fornito agli utilizzatori della rete un'idonea informativa privacy, tale non potendosi ritenere la mera comunicazione al personale del Regolamento relativo al corretto utilizzo degli strumenti elettronici, violando così il principio di liceità alla base del trattamento dei dati personali. L'Autorità ha quindi dichiarato illecito il trattamento dei dati personali così raccolti e ne ha vietato l'ulteriore uso. Per quanto concerne il trattamento effettuato sulle e-mail di ex dipendenti, il Garante con Provvedimento n. 456 del 30 luglio 2015, con riferimento ai trattamenti effettuati sulla posta elettronica aziendale dopo la cessazione del rapporto di lavoro, ha ritenuto che, in conformità ai principi in materia di protezione dei dati personali, gli account riconducibili a persone identificate o identificabili debbano essere rimossi previa disattivazione degli stessi e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all´attività professionale del titolare del trattamento (e non, come correttamente osservato dalla società, eventuali account privati riferiti agli ex dipendenti). L'interesse del titolare ad accedere alle informazioni necessarie all´efficiente gestione della propria attività, pertanto, deve essere contemperato con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori nonché dei terzi (v. provv.ti 5 marzo 2015, n. 136, doc. web n. 3985524 e 27 novembre 2014, n. 551, doc. web n. 3718714). Non è stata ritenuta invece conforme ai suesposti principi la prassi adottata dalla società ( oggetto del provvedimento), secondo quanto dalla medesima riferito, consistente nel "reindirizzare" automaticamente i messaggi in transito sugli account riferiti a dipendenti il cui rapporto di lavoro sia cessato (o in ipotesi di non meglio precisata "sospensione" del rapporto stesso) su indirizzi di posta elettrica aziendale attribuiti ad altri dipendenti. Atteso ciò, nel caso di specie non si è in presenza di dipendenti cessati dal servizio ma sospesi. Ad ogni modo, riteniamo si possano applicare i principi di cui sopra e quindi, con riferimento a detti dipendenti, la scuola potrà procedere (per il periodo di sospensione) alla disattivazione dell'account con le conseguenti procedure sopra descritte con specifico riferimento anche agli obblighi nei confronti dei terzi. Questa ci para la soluzione prospettabile che tiene conto sia delle esigenze dell'Amministrazione che della tutela dei dati personali dei dipendenti coinvolti.