Email dei dipendenti: nuovi adempimenti privacy per il datore di lavoro

---

Condividi l'articolo:

---

Con il provvedimento del 21 dicembre 2023, n. 642, il Garante per la protezione dei dati personali ha adottato il documento di indirizzo per i programmi e i servizi informatici di gestione della posta elettronica nel contesto lavorativo e il trattamento dei metadati.

Il testo, rivolto ai datori di lavoro pubblici e privati, fornisce spunti di indirizzo volti a prevenire iniziative e trattamento di dati in contrasto con la disciplina in materia di privacy nonché a tutelare la libertà e la dignità dei lavoratori, esplicitando le garanzie che devono essere rispettate nel contesto lavorativo.

In particolare, il documento è dedicato ai programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, che possono raccogliere, per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (come ad esempio: giorno, ora, mittente, destinatario, oggetto e dimensione dell’email).

Trattamento dei dati nella posta elettronica aziendale

I messaggi di posta elettronica, ivi inclusi i dati esteriori delle comunicazioni ed i file allegati, attengono a forme di corrispondenza assistite da garanzie di segretezza tutelate anche dalla Carta Costituzionale (articoli 2 e 15), che tendono a proteggere la dignità della persona ed il suo pieno sviluppo nelle formazioni sociali.

Ciò atteso, nel contesto lavorativo pubblico e privato, sussiste una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza.

In tale ambito, l’utilizzo di programmi e servizi informatici per la gestione delle email, specie laddove forniti in modalità cloud o as-a-service, potrebbe comportare la generalizzata e preventiva raccolta di metadati idonea a configurare un trattamento illecito rispetto alla normativa in materia di tutela dei dati personali.

Raccolta che – a causa delle impostazioni predefinite dei predetti programmi – potrebbe non essere modificabile dal datore di lavoro ovvero sia necessaria per assicurare il corretto funzionamento delle infrastrutture del sistema di posta elettronica.

Il Garante per la protezione dei dati personali ha, dunque, elaborato linee di indirizzo sulla raccolta e la conservazione dei predetti dati, anche avendo riguardo alla disciplina di settore in materia di controlli a distanza che, come noto, fa salve dalle garanzie procedurali di cui all’art. 4, comma 1, legge 20 maggio 1970, n. 300, esclusivamente gli strumenti per la registrazione degli accessi e delle presenze e gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa.  

Linee di indirizzo per i datori di lavoro – Statuto dei lavoratori

Valutate le garanzie procedurali di cui al richiamato articolo 4 dello Statuto dei lavoratori, secondo il Garante, l’attività di raccolta e conservazione dei soli c.d. metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema di posta elettronica è riconducibile alle deroghe previste dal secondo comma, art. 4, legge 20 maggio 1970, n. 300, laddove i predetti dati vengano conservati per un periodo massimo di sette giorni, estensibili, in presenza di comprovate e documentate esigenze, di ulteriori 48 ore.

Ciò comporta che ogni datore di lavoro, sia pubblico che privato, ponga in essere valutazioni tecniche circa i programmi di posta elettronica in uso, verificando se sia possibile la modifica delle impostazioni di base che impedisca la raccolta dei metadati ovvero limiti il loro periodo di conservazione nei termini prescritti dal garante.

Nel caso in cui la raccolta e la conservazione dei metadati in argomento avvenga per un lasso di tempo più ampio ed anche laddove il presupposto sia rinvenibile nella finalità di sicurezza informatica e nella tutela del patrimonio (informativo) del datore di lavoro, potendo il predetto trattamento configurare una possibile attività di controllo indiretto ed a distanza dei lavoratori, andranno attivate le garanzie previste dal comma 1, art. 4, legge n. 300/1970.

NOTA BENE: Pertanto, nelle ipotesi in cui la raccolta e la conservazione di metadati inerente all’utilizzo delle email in uso ai dipendenti avvenga per un periodo superiore a sette giorni, estensibili, nei casi di particolare necessità, di ulteriori 48 ore, è necessario che vengano attivate le garanzie procedurali di cui all’art. 4, comma 1, legge n. 300/1970, sicché il datore di lavoro sarà chiamato a sottoscrivere un apposito accordo con le rappresentanze sindacali aziendali ovvero ad ottenere un’apposita autorizzazione da parte dell’Ispettorato del Lavoro.

L’eventuale utilizzo dei programmi informatici in argomento, in assenza delle procedure di garanzie previste dallo Statuto dei Lavoratori, si pone in contrasto con la normativa in materia di protezione dei dati personali, oltreché con la richiamata disciplina di settore, in relazione agli artt. 5, par. 1, lett. a), 6 e 88, par. 1, del Regolamento, nonché dell’art. 114, del Codice Privacy.

Ulteriori profili di responsabilità possono, poi, configurarsi laddove i suddetti dati vengano utilizzati al fine di acquisire ed elaborare informazioni riferite o riferibili alla sfera personale del soggetto ed alle opinioni dell’interessato (dati inerenti all’oggetto, mittente, destinatario, data ed invio delle comunicazioni, frequenza di contatto, etc.).

Sotto tale profilo, infatti, si rammenta che a mente dell’art. 8, della citata legge  n. 300/1970, è fatto divieto al datore di lavoro di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore.

Rispetto delle linee di indirizzo: cosa fare?

Al fine di prevenire eventuali trattamenti di dati personali non conformi alla disciplina legale vigente, i datori di lavoro pubblici e privati dovranno:

• verificare, con la dovuta diligenza, che i programmi di gestione della posta elettronica in uso ai dipendenti, consentano di modificare le impostazioni di base, impedendo la raccolta dei predetti metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di sette giorni, estensibile di ulteriori 48 ore, nei casi di comprovate necessità;
• in caso di impossibilità di apportare le modifiche di cui al punto precedente, attivare le garanzie procedurali di cui all’art. 4, legge n. 300/1970 ovvero cessare l’utilizzo di tali programmi e/o servizi informatici. Resta fermo che, durante l’eventuale espletamento delle procedure di garanzie, i metadati non potranno comunque essere utilizzati;
• in ogni caso, fornire una specifica informativa sul trattamento dei dati personali ai propri dipendenti ed eventualmente aggiornare eventuali regolamenti o modalità d’uso degli strumenti informatici, anche relativamente alle modalità di effettuazione dei controlli;
• aggiornare il registro dei trattamenti, con riferimento alle nuove tempistiche di conservazione del dato.

ATTENZIONE: In considerazione delle superiori valutazioni è consigliabile che il datore di lavoro che ponga in essere i predetti trattamenti elabori una valutazione d’impatto privacy (c.d. DPIA) e stabilisca eventuali misure di gestione sicura del dato.

 

QUADRO NORMATIVO Garante per la Protezione dei Dati Personali – Provvedimento del 21 dicembre 2023, n. 642