Il 21 dicembre 2023, il Garante privacy ha adottato il documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati.
Il documento fornisce indicazioni ai datori di lavoro in merito all’utilizzo di programmi e servizi informatici per la gestione della posta elettronica (cloud o SaaS) che possano raccogliere e conservare per un esteso arco temporale in modo preventivo e generalizzato, per impostazione predefinita, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad es. giorno, ora, mittente, destinatario, oggetto e dimensione dell’email).
Tali servizi, talvolta, limitano la possibilità per il datore di lavoro di modificare le impostazioni di base del programma informatico, e non permettono, dunque, di disabilitare o modificare le modalità raccolta e conservazione di tali dati.
Affinché l’uso di tali strumenti sia lecito, il Garante privacy ha stabilito che:
- Per poter applicare il c. 2 dell’art. 4 dello Statuto dei lavoratori (che prevede l’esclusione dell’obbligo dell’accordo sindacale o dell’autorizzazione pubblica), deve potersi parlare di possibili controlli dei soli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”.
- L’attività di raccolta e conservazione dei soli c.d. metadati necessari (ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica) non deve eccedere un tempo superiore a poche ore o al limite sette giorni. Tale durata è estensibile, in presenza di comprovate e documentate esigenze all’esito di valutazioni tecniche e nel rispetto del principio di accountability, di ulteriori 48 ore.
- In caso contrario, ovvero se la generalizzata raccolta e la conservazione di tali metadati avviene per un lasso di tempo più esteso, non sarebbe più sostenibile l’eccezione di cui sopra, per cui si richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, dello Statuto dei lavoratori e quindi, l’accordo sindacale o dell’autorizzazione pubblica. Anche se il trattamento si fonda sul presupposto della sua necessità per finalità di sicurezza informatica e tutela dell’integrità del patrimonio, anche informativo, del datore di lavoro.
Di conseguenza, il trattamento ulteriore dei dati personali, raccolti in assenza delle menzionate garanzie, sarebbe illecito, per i motivi che seguono.
Sarebbe ravvisabile, prima facie, la violazione degli artt. 5, par. 1, lett. a), 6 e 88, par. 1, del Regolamento; nonché dell’art. 114 del Codice (in relazione all’art. 4, comma 1, della l. n. 300/1970).
Dagli elementi ricavabili dai dati esteriori della corrispondenza, come l’oggetto, il mittente e il destinatario che accompagnano i dati in transito, nonché dagli aspetti quali-quantitativi anche in ordine ai destinatari e alla frequenza di contatto, è possibile acquisire informazioni riferite alla sfera personale o alle opinioni dell’interessato. Potrebbe dunque ipotizzarsi anche l’applicazione dell’art. 8 della l. n. 300/1970 e dell’art. 10 del d.lgs. 10 settembre 2003, n. 276, espressamente richiamati dall’art. 113 del Codice. Secondo il Garante, infatti, “la generalizzata raccolta e la conservazione dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti, per un periodo di tempo esteso, in assenza di idonei presupposti giuridici può, dunque, comportare la possibilità per il datore di lavoro di acquisire, informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore”.
Verrebbero violati, inoltre, i principi di limitazione della conservazione (art. 5, par. 1, lett. e), del Regolamento), di protezione dei dati fin dalla progettazione e per impostazione predefinita (privacy by default), nonché quello di responsabilizzazione.
In questo quadro, si presenta un importante problema pratico per le aziende e gli enti pubblici che utilizzino tali strumenti, relativo alle tempistiche necessarie per raggiungere un vero accordo sindacale, o quelle per ottenere l’autorizzazione dell’Ispettorato nazionale del lavoro (per le organizzazioni che non hanno rappresentanze sindacali interne).
Il provvedimento, però, si limita a precisare che, “nelle more dell’eventuale espletamento delle procedure di garanzia, i predetti metadati non possono comunque essere utilizzati (cfr. art. 2-decies del Codice)”. Dunque, non risolve il problema della liceità stessa del trattamento “eccessivo” in questo lasso temporale, con conseguente possibili responsabilità civili e soprattutto penali.
Per quanto riguarda le iniziative da adottare per la compliance normativa, il Garante, dopo aver ricordato l’obbligo di “verificare con la dovuta diligenza che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service – consentano al cliente (datore di lavoro) di modificare le impostazioni di base, impedendo la raccolta dei predetti metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di sette giorni, estensibile di ulteriori 48 ore”, specifica che i datori di lavoro “dovranno alternativamente, nel caso in cui i trattamenti di dati personali in questione si dovessero comunque rendere necessari per il perseguimento di esigenze organizzative o produttive, espletare le richiamate procedure di garanzia previste dalla disciplina di settore (art. 4 della l. 300/1970) o cessare l’utilizzo di tali programmi e servizi informatici”.
Anche sotto questo profilo si ravvisano problemi di non poco conto: la cessazione di tali strumenti (con il conseguente passaggio a nuovi sistemi che permettano la compliance) potrebbe infatti non essere semplice e veloce, specialmente per le organizzazioni di grandi dimensioni.