Limiti al trattamento dei dati relativi alle mail dei lavoratori

Garante per la Protezione dei dati personali – Provvedimento n. 642 del 21 dicembre 2023 – “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”.

Sonia Gallozzi, consulente giuslavorista Sede nazionale

Il Garante della Privacy, con un provvedimento del 21 dicembre 2023, pubblicato il successivo 6 febbraio, ha fissato regole molto precise sulla gestione della posta elettronica dei lavoratori. Più precisamente, il provvedimento nasce dalla finalità dichiarata di prevenire il rischio che programmi e servizi informatici utilizzati dai datori di lavoro per la gestione della posta elettronica, forniti da soggetti terzi in modalità cloud, possano raccogliere, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email), conservando gli stessi per un periodo troppo esteso.

Il Garante ha innanzitutto ribadito che “il contenuto dei messaggi di posta elettronica – come pure i dati esteriori delle comunicazioni e i file allegati - riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente (artt. 2 e 15 Cost.), che proteggono il nucleo essenziale della dignità della persona e il pieno sviluppo della sua personalità nelle formazioni sociali. Ciò comporta che, anche nel contesto lavorativo pubblico e privato, sussista una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza”. Da ciò discende dunque che “nel contesto lavorativo, è necessario che il datore di lavoro, in quanto titolare del trattamento, verifichi la sussistenza di un idoneo presupposto di liceità (cfr. artt. 5, par. 1, lett. a) e 6 del Regolamento) prima di effettuare trattamenti di dati personali dei lavoratori attraverso tali programmi e servizi, rispettando le condizioni per il lecito impiego di strumenti tecnologici nel contesto lavorativo”, valutando se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche - in ragione delle tecnologie impiegate e considerata la natura, l'oggetto, il contesto e le finalità perseguite - che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali.

Detto ciò, il Garante ha individuato le iniziative che i datori di lavoro debbono attuare per prevenire trattamenti di dati personali non conformi alla normativa vigente ed ossia:

• verificare con la dovuta diligenza che i programmi e servizi informatici in questione consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di sette giorni, estensibile di ulteriori 48 ore in presenza di condizioni specifiche (o provvedere alla cessazione degli stessi);
• in caso contrario, è necessario l’esperimento delle procedure di garanzia previste dall’art. 4 dello Statuto dei Lavoratori (accordo sindacale o autorizzazione dell’Ispettorato del lavoro), in quanto l’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può comportare un indiretto controllo a distanza dell’attività del lavoratore;
• in ogni caso, deve essere assicurata la necessaria trasparenza nei confronti dei lavoratori, fornendo agli stessi una specifica informativa sul trattamento dei dati personali prima di dare inizio al trattamento.

Il Garante, dunque, pone responsabilità in capo al datore in caso di assenza dell’espletamento delle procedure di garanzia di cui all’art. 4 dello Statuto dei Lavoratori quando la conservazione dei dati superi i 7 giorni; in caso di acquisizione di informazioni riferite alla sfera personale o alle opinioni dell’interessato dagli elementi ricavabili dai dati esteriori della corrispondenza, come l’oggetto, il mittente, il destinatario e altre informazioni che accompagnano i dati in transito, definendone profili temporali (come la data e l’ora di invio/ricezione), nonché dagli aspetti quali-quantitativi anche in ordine ai destinatari e alla frequenza di contatto; in caso di definizione di tempi di conservazione dei metadati non proporzionati rispetto alle legittime finalità perseguite; in caso di violazione dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita nonché quello di responsabilizzazione.

Alla stregua di quanto sopra, ne deriva che ove i datori di lavoro ritengano necessaria la conservazione dei metadati delle e-mail per un periodo più esteso rispetto a quello previsto dal Garante, debbono necessariamente attivare la procedura di accordo sindacale/autorizzazione amministrativa prevista dall'articolo 4 della legge 300/1970. Il periodo ulteriore deve essere comunque predefinito e congruo rispetto a queste specifiche necessità aziendali e il gestionale deve essere conseguentemente impostato con la scadenza concordata/autorizzata. Il Garante ha altresì stabilito che, nelle more dell'eventuale espletamento delle procedure di garanzia, i metadati non possono comunque essere utilizzati.