Come noto, in data 21 Dicembre 2023, il Garante Privacy ha adottato un Provvedimento specifico in materia di trattamento dei dati personali nel contesto lavorativo tramite programmi e servizi informatici di gestione della posta elettronica. Trattasi del Documento di indirizzo rubricato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” [doc. web n. 9978728].
Per metadati si intendono i dati “esterni” (non quindi i contenuti) delle e-mail, come giorno, ora, mittente, destinatario, oggetto e dimensione degli allegati.
Nell’ambito di accertamenti condotti dal Garante con riguardo ai trattamenti di dati personali effettuati nel contesto lavorativo è emerso il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere, per impostazione predefinita, in modo preventivo, generalizzato e per un lasso di tempo oltremodo esteso, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti. Per metadati si intendono i dati “esterni” (non quindi i contenuti) delle e-mail, come giorno, ora, mittente, destinatario, oggetto e dimensione degli allegati.
Rileva il Garante che, comunque, dagli elementi ricavabili dai dati esteriori della corrispondenza, come l’oggetto, il mittente e il destinatario e altre informazioni che accompagnano i dati in transito, definendone profili temporali (come la data e l’ora di invio/ricezione), nonché dagli aspetti quali-quantitativi anche in ordine ai destinatari e alla frequenza di contatto (in quanto anche questi dati sono, a propria volta, suscettibili di aggregazione, elaborazione e di controllo), è possibile acquisire informazioni riferite alla sfera personale o alle opinioni dell’interessato. Inoltre i servizi offerti in cloud, talvolta, pongono limitazioni al cliente (datore di lavoro) in ordine alla possibilità di modificare le impostazioni di base del programma informatico al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi.
Prevenire iniziative e trattamenti di dati in contrasto con la disciplina in materia di protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori
A fronte di tali rischi per i diritti e le libertà personali dei lavoratori (con particolare rifermento agli artt. 2 e 15 Cost.), il Garante ha pertanto deciso di adottare il già sopra indicato Documento di indirizzo volto a fornire talune indicazioni ai datori di lavoro pubblici e privati e agli altri soggetti a vario titolo coinvolti, onde prevenire iniziative e trattamenti di dati in contrasto con la disciplina in materia di protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori (cfr. artt. 113 e 114 del Codice Privacy).
Di seguito i principali punti di interesse del Documento.
Anzitutto il Titolare, anche in virtù dei principi di “accountability” (responsabilizzazione) e “privacy by design” (artt. 24 e 25 del GDPR) deve sempre valutare la sussistenza di un idoneo presupposto di liceità (cfr. artt. 5, par. 1, lett. a), e 6 del GDPR) prima di effettuare trattamenti di dati. Ne consegue che devono essere verificati i presupposti di liceità stabiliti dall’art. 4 della L. 300/1970 (cosiddetto “Statuto dei lavoratori”), cui fa rinvio l’art. 114 del Codice Privacy, nonché il rispetto delle diposizioni che vietano al datore di lavoro di acquisire e comunque trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata (art. 8 dello Statuto dei lavoratori e art. 10 del D.Lgs. 276/2003, cui fa rinvio l’art. 113 del Codice).
Altresì, sempre in attuazione del principio di accountability, spetta al Titolare valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche – in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalità perseguite – che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali (cfr. artt. 35 e 36 del GDPR). In effetti, in caso di raccolta e memorizzazione dei metadati relativi all’impiego della posta elettronica, va evidenziata la particolare “vulnerabilità” degli interessati nel contesto lavorativo, nonché il rischio di “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti” (Gruppo di lavoro art. 29, “Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento”, WP 248 del 4 aprile 2017).
Partendo da siffatte premesse, il Garante si sofferma sull’analisi dell’art. 4 dello Statuto dei lavoratori che individua tassativamente le finalità (ovvero quelle organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale) per le quali gli strumenti, dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere impiegati nel contesto lavorativo, stabilendo precise garanzie procedurali (accordo sindacale o autorizzazione pubblica). Le predette garanzie non trovano invece applicazione “agli strumenti di registrazione degli accessi e delle presenze”, così come “agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”, in quanto funzionali a consentire l’assolvimento degli obblighi che discendono direttamente dal contratto di lavoro, vale a dire, la presenza in servizio e l’esecuzione della prestazione lavorativa. Ma tale “eccezione” deve essere interpretata restrittivamente, considerate anche le responsabilità penali, che possono derivare dalla violazione del predetto quadro normativo.
i metadati necessari ad assicurare il funzionamento della posta elettronica, una volta raccolti, possono essere conservati per un tempo massimo di sette giorni
Alla luce delle disposizioni richiamate, i metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, una volta raccolti, possono e anzi devono essere conservati per un tempo massimo di sette giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore (conformi Provv. 1° febbraio 2018, n. 53, doc. web n. 8159221, e Provv. 29 settembre 2021, n. 353, doc. web n. 9719914). Va dunque scrupolosamente rispettato il principio di “limitazione della conservazione” dei dati (art. 5, par. 1, lett. e), del GDPR), oltre a quelli precedentemente citati (liceità, responsabilizzazione, privacy by design).
Diversamente, la generalizzata raccolta e la conservazione di tali metadati, per un lasso di tempopiù esteso – ancorché sul presupposto della sua necessità per finalità di sicurezza informatica e tutela dell’integrità del patrimonio, anche informativo, del datore di lavoro –, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede obbligatoriamente l’accordo sindacale o, in difetto, l’autorizzazione dell’Ispettorato del lavoro. Nelle more dell’eventuale espletamento delle procedure di garanzia, i metadati non possono comunque essere utilizzati (cfr. art. 2-decies del Codice).
Si rende poi necessario verificare con la dovuta diligenza che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o “as-a-service” – consentano al cliente (datore di lavoro) di modificare le impostazioni di base, impedendo la raccolta dei predetti metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di sette giorni, estensibile di ulteriori 48 ore. E, in tal senso, il Garante invita gli stessi produttori dei servizi e delle applicazioni, in fase di sviluppo e progettazione degli stessi, a tenere conto del diritto alla protezione dei dati in relazione allo stato dell’arte (v. cons. 78 del GDPR).
Deve essere assicurata la trasparenza nei confronti dei lavoratori, fornendo una informativa sul trattamento dei dati personali prima di dare inizio al trattamento
Infine, deve essere assicurata la necessaria trasparenza nei confronti dei lavoratori, fornendo agli stessi una specifica informativa sul trattamento dei dati personali prima di dare inizio al trattamento (cfr. art. 5, par. 1, lett. a), 12 e 13 del GDPR; cfr. anche ), tenuto conto anche del fatto che l’adempimento degli obblighi informativi sulle modalità d’uso degli strumenti e di effettuazione dei controlli costituisce una specifica precondizione per il lecito utilizzo dei dati raccolti attraverso strumenti tecnologici, da parte del datore di lavoro, anche a tutti i fini connessi al rapporto di lavoro, ivi inclusi quelli disciplinari (art. 4, c. 3, dello Statuto dei lavoratori).
Per fornire le migliori esperienze, utilizziamo tecnologie come i cookie per memorizzare e/o accedere alle informazioni del dispositivo. Il consenso a queste tecnologie ci permetterà di elaborare dati come il comportamento di navigazione o ID unici su questo sito. Non acconsentire o ritirare il consenso può influire negativamente su alcune caratteristiche e funzioni.
Funzionale
Sempre attivo
L'archiviazione tecnica o l'accesso sono strettamente necessari al fine legittimo di consentire l'uso di un servizio specifico esplicitamente richiesto dall'abbonato o dall'utente, o al solo scopo di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica.
Preferenze
L'archiviazione tecnica o l'accesso sono necessari per lo scopo legittimo di memorizzare le preferenze che non sono richieste dall'abbonato o dall'utente.
Statistiche
L'archiviazione tecnica o l'accesso che viene utilizzato esclusivamente per scopi statistici.L'archiviazione tecnica o l'accesso che viene utilizzato esclusivamente per scopi statistici anonimi. Senza un mandato di comparizione, una conformità volontaria da parte del vostro Fornitore di Servizi Internet, o ulteriori registrazioni da parte di terzi, le informazioni memorizzate o recuperate per questo scopo da sole non possono di solito essere utilizzate per l'identificazione.
Marketing
L'archiviazione tecnica o l'accesso sono necessari per creare profili di utenti per inviare pubblicità, o per tracciare l'utente su un sito web o su diversi siti web per scopi di marketing simili.
