A cura di Luca Peron
in data 21 dicembre 2023 il Garante per la privacy ha rilasciato un Documento di indirizzo sui programmi e servizi di gestione della posta elettronica nel contesto lavorativo, in attuazione dei principi del Regolamento UE 2016/679 (GDPR), al fine di favorire la più ampia comprensione riguardo alle norme e alle garanzie che devono essere rispettate in ambito lavorativo.
Il Documento di Indirizzo muove dalla constatazione che, nell’ambito degli accertamenti condotti dal Garante con riguardo ai trattamenti di dati personali effettuati nel contesto lavorativo, è emerso che sovente i programmi e servizi informatici per la gestione della posta elettronica raccolgono in modo preventivo e generalizzato i metadati (dati esteriori) relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (giorno, ora, mittente, destinatario, oggetto e dimensione dell’email e degli eventuali allegati), conservando gli stessi per un esteso arco temporale.
Il Garante osserva, innanzitutto, che anche i suddetti metadati (giorno, ora, mittente, destinatario, oggetto e dimensione dell’email) riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate costituzionalmente (artt. 2 e 15 Cost.), di talché il datore di lavoro – in quanto titolare del trattamento – è tenuto a verificare la sussistenza dei presupposti di liceità stabiliti dall’art. 4 della legge 20 maggio 1970, n. 300 (controlli a distanza), nonché il rispetto delle diposizioni che vietano al datore di lavoro di acquisire e comunque trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata (art. 8 legge n. 300/1970), cui fa rinvio l’art. 113 del Codice della privacy. Alla luce delle surrichiamate disposizioni, il Garante ha precisato che l’attività di raccolta e conservazione dei soli metadati (dati esteriori) necessari ad assicurare il funzionamento delle infrastrutture del sistema di posta elettronica, per un tempo che non può essere superiore di norma ad alcune ore o ad alcuni giorni e, in ogni caso, non superiore a 7 giorni (estensibili di ulteriori 48 ore in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento), non richiede un accordo sindacale in quanto riconducibile al secondo comma dell’art. 4 della legge n. 300/1970.
Diversamente, la generalizzata raccolta e conservazione di tali metadati per un lasso di tempo più esteso – ancorché sul presupposto della sua necessità per finalità di sicurezza informatica e tutela dell’integrità del patrimonio, anche informativo, del datore di lavoro – potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, rientra nella sfera di applicazione del primo comma dell’art. 4 della legge n. 300/1970 e, pertanto, richiede un accordo sindacale, fermo restando che anche in presenza di un accordo la conservazione dei dati dovrà avvenire nel rispetto del principio generale di limitazione della conservazione (cioè in misura proporzionata e coerente alla finalità dichiarata del trattamento).
Conclusioni: al fine di prevenire trattamenti di dati personali non conformi al richiamato quadro normativo, con conseguenti responsabilità sul piano sia amministrativo che penale, i datori di lavoro dovranno adottare le misure necessarie a conformare i propri trattamenti alla disciplina di protezione dati e a quella di settore, verificando, in particolare, che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service – siano rispettosi delle condizioni sopra illustrate avuto riguardo, in particolare, al periodo di conservazione dei dati, che non deve superare quanto strettamente necessario e, in ogni caso, non superare i 7 giorni. Nel caso in cui la conservazione prolungata dei metadati in questione si dovesse comunque rendere necessaria per il perseguimento di esigenze organizzative o produttive, si dovranno espletare le procedure previste dall’art. 4 della legge n. 300/1970 (accordo sindacale). Occorrerà altresì verificare che sia assicurata la necessaria trasparenza nei confronti dei lavoratori, fornendo agli stessi una specifica informativa sul trattamento dei dati personali, ciò anche tenuto conto del fatto che l’adempimento degli obblighi informativi nei confronti dei dipendenti (consistenti nella “adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli”) costituisce una specifica precondizione per il lecito utilizzo dei dati raccolti attraverso strumenti tecnologici, da parte del datore di lavoro, ai fini disciplinari.
Il quadro sopra illustrato ha creato sin da subito molte preoccupazioni tra le imprese e si è recentemente arricchito di un nuovo tassello, che potrebbe sperabilmente preludere ad una qualche auspicata modifica correttiva del provvedimento del 21 dicembre 2023.
Con un provvedimento pubblicato il 27 febbraio 2024, il Garante Privacy ha infatti inaspettatamente rinviato l’entrata in vigore delle succitate linee guida emanate il 21 dicembre 2023 e, contestualmente, ha avviato un percorso di consultazione pubblica finalizzato ad acquisire pareri di esperti e operatori.
Una scelta che – come detto – potrebbe preludere a un cambiamento di rotta su un tema che, in queste settimane, ha creato molto allarme nelle aziende.
Potranno dare un contributo alla consultazione tutti i datori di lavoro – pubblici e privati – ma anche gli esperti della disciplina di protezione dei dati e tutti gli altri soggetti interessati. Il modo per partecipare sarà molto semplice: basterà mandare al Garante le proprie osservazioni, i commenti, le informazioni, le proposte e tutti gli elementi ritenuti utili per una migliore regolazione della materia, entro 30 giorni a partire dalla pubblicazione in Gazzetta ufficiale del provvedimento. Il messaggio potrà essere recapitato tramite posta ordinaria o con una e-mail destinata alle caselle protocollo@gpdp.it oppure protocollo@pec.gpdp.it.
Lo scopo della consultazione, secondo il comunicato dell’Autorità, è quello di «rispondere alle numerose richieste di chiarimenti ricevute», fornendo spunto sulle forme e modalità di utilizzo che renderebbero necessaria una conservazione dei metadati superiore a quella ipotizzata nel documento di indirizzo.
La seconda misura del Garante è altrettanto importante: viene deciso di «differire l’efficacia del documento di indirizzo» del 21 dicembre 2023 fino a quando, successivamente al termine della consultazione pubblica, non saranno adottate nuove misure (o, in caso di mancata adozione di nuovi atti, fino ai 60 giorni successivi alla fine della consultazione).
Questo vuol dire che, fino a quando non sarà completato il percorso di raccolta delle opinioni, e per un periodo massimo di 90 giorni, i datori di lavoro e gli operatori che gestiscono i cloud dove sono collocate le e-mail aziendali non dovranno apportare modifiche alle politiche di conservazione.