Mail dei lavoratori, meno metadati da cancellare

---

Condividi l'articolo:

---

Nuovo provvedimento sui tempi di conservazione delle mail dei lavoratori da parte delle aziende; il Garante della privacy ha infatti rivisto, con provvedimento del 6 giugno 2024, quanto ilustrato il 21 dicembre 2023 in tema di metadati da cancellare, facendo proprie le varie perplessità emerse negli scorsi mesi da parte delle imprese.

Il documento, di natura meramente orientativa, non reca prescrizioni né introduce nuovi adempimenti a carico dei titolari del trattamento, ma intende offrire ai datori di lavoro indicazioni in ordine alla possibilità di trattare tali informazioni per consentire il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica senza necessità di attivare la procedura di garanzia prevista dall’art. 4, comma 1, della legge 20/5/1970, n. 300.

Ma andiamo con ordine, ed entriamo nel dettaglio della materia, di rilevante interesse per prevenire il rischio di raccolta indiscriminata dei metadati forniti da soggetti terzi in modalità cloud relativi all'utilizzo delle mail dei dipendenti.

Metadati: cosa sono

Il documento si preoccupa innanzitutto di precisare e meglio definire, rispetto a quanto reso stabilito il 21 dicembre 2023, l’ambito di applicazione e il concetto di metadati.

Tecnicamente, i metadati corrispondono alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica, nell’interazione che avviene tra i diversi server interagenti.

In pratica, si tratta delle informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi, che possono includere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client, gli orari di invio, di inoltro o di ricezione, la dimensione del messaggio, la presenza di eventuali allegati e, in certi casi, anche l’oggetto del messaggio spedito o ricevuto.

I metadati cui ci si riferisce il documento presentano la caratteristica di essere registrati automaticamente dai sistemi di posta elettronica, a prescindere dalla percezione e dalla volontà dell’utilizzatore ed è proprio questo uno degli elementi da tenere in considerazione ai fini della tutela della privacy.

NOTA BENE: I metadati non vanno in alcun modo confusi con le informazioni contenute nel corpo del messaggio di posta elettronica: pertanto, le indicazioni contenute nel documento non riguardano i contenuti dei messaggi, che rimangono nella piena disponibilità del lavoratore.

Protezione delle mail, cosa devono fare le aziende?

Il contenuto dei messaggi di posta elettronica è assistito da garanzie di segretezza tutelate anche dagli articoli 2 e 15 della Costituzione; ciò comporta che anche nel contesto lavorativo sussista una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza.

Poiché dunque l’impiego dei programmi e servizi informatici dà luogo a trattamenti di dati personali riferiti a soggetti identificati o identificabili nel contesto lavorativo, è necessario che il datore di lavoro, in quanto titolare del trattamento, verifichi la sussistenza di un idoneo presupposto di liceità prima di effettuare trattamenti di dati personali dei lavoratori attraverso i programmi e servizi, rispettando le condizioni per il lecito impiego di strumenti tecnologici nel contesto lavorativo.

Verifica dei presupposti di liceità

Entrando nel dettaglio, deve quindi essere sempre verificata la sussistenza dei presupposti di liceità stabiliti dall’art. 4 della legge n. 300/1970 nonché il rispetto delle disposizioni che vietano al datore di lavoro di acquisire e trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata (art. 8 della legge 20 maggio 1970, n. 300 e art. 10 del decreto legislativo n. 276/2003).

Principi generali

Il titolare del trattamento, ovvero il datore di lavoro, è inoltre tenuto a rispettare i principi generali del trattamento e a porre in essere tutti gli adempimenti previsti dalle disposizioni normative in materia di protezione dei dati personali soprattutto avuto riguardo alla necessità di fornire agli interessati in modo corretto e trasparente notizia del complessivo trattamento effettuato che li renda pienamente consapevoli delle caratteristiche dello stesso.

Principio di responsabilizzazione

Inoltre, in attuazione del cosiddetto principio di responsabilizzazione di cui all’art. 5 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (GDPR), spetta al titolare valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali.

Tale necessità ricorre ad esempio in caso di raccolta e memorizzazione dei log della posta elettronica, data la particolare vulnerabilità degli interessati nel contesto lavorativo ed il conseguente rischio di loro monitoraggio e controllo.

Controlli a distanza

Riguardo lo spinoso tema dei controlli a distanza dei lavoratori, l’art. 4, comma 1, dello Statuto dei lavoratori individua tassativamente le finalità (organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale) per le quali gli strumenti dai quali derivi la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati nel contesto lavorativo.

Vengono così fissate precise garanzie procedurali date dall’accordo sindacale o dall’autorizzazione pubblica.

Ma tali garanzie, ai sensi del comma 2 dell’articolo 4 della legge n. 300/1970, non si applicano agli strumenti di registrazione degli accessi e delle presenze, così come a quelli utilizzati dal lavoratore per rendere la prestazione lavorativa: si tratta dunque, precisa il Garante, di un’eccezione che deve essere oggetto di stretta interpretazione, considerate le responsabilità anche sul piano penale che possono derivare dalla violazione del quadro normativo illustrato.

Periodo di conservazione dei metadati

Ciò posto, perché possa applicarsi il comma 2 dell’art. 4 della legge n. 300/1970, l’attività di raccolta e conservazione dei soli metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica può essere effettuata, prosegue il Garante, per un periodo limitato a non più di 21 giorni; l’eventuale conservazione per un termine più ampio può essere effettuata solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente le specificità della realtà tecnica e organizzativa del titolare.

Diversamente, la raccolta e la conservazione dei log di posta elettronica per un lasso di tempo più esteso, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, dello Statuto dei lavoratori, fermo restando che comunque anche tale conservazione debba avvenire nel rispetto del principio di limitazione della conservazione.

FAQ

1. Qual è il nuovo provvedimento del Garante della privacy? Il Garante della privacy ha emanato un provvedimento il 6 giugno 2024 che modifica quanto reso noto il 6 febbraio 2024 riguardo alla gestione e conservazione dei metadati delle mail dei lavoratori.

2. Cosa sono i metadati? I metadati sono informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica. Includono dati come gli indirizzi email del mittente e del destinatario, indirizzi IP, orari di invio e ricezione, dimensione del messaggio e la presenza di eventuali allegati.

3. Qual è la differenza tra metadati e contenuto delle mail? I metadati riguardano informazioni tecniche e operative delle mail (come indirizzi IP e orari di invio), mentre il contenuto delle mail si riferisce al testo e agli allegati effettivi dei messaggi di posta elettronica.

4. Le nuove indicazioni del Garante introducono obblighi per le aziende? No, il documento ha natura orientativa e non introduce nuovi obblighi per i titolari del trattamento. Offre invece indicazioni ai datori di lavoro su come gestire i metadati senza attivare la procedura di garanzia prevista dall’art. 4, comma 1, della legge n. 300/1970.

5. Qual è il periodo massimo di conservazione dei metadati consentito? Il Garante stabilisce che i metadati possono essere conservati per un periodo massimo di 21 giorni. Un'estensione di questo termine è possibile solo in presenza di specifiche condizioni tecniche e organizzative, adeguatamente comprovate.

6. È consentito il controllo a distanza dei lavoratori tramite la raccolta dei metadati? La raccolta e conservazione dei metadati può essere considerata un controllo a distanza, che richiede le garanzie previste dall’art. 4, comma 1, della legge n. 300/1970, e deve rispettare il principio di limitazione della conservazione.

7. Quali sono le garanzie procedurali per il controllo a distanza? Le garanzie procedurali includono l'accordo sindacale o l'autorizzazione pubblica, specificando le finalità organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale.

8. Cosa devono fare i datori di lavoro per rispettare le normative sulla privacy? I datori di lavoro devono verificare la liceità dei trattamenti dei dati personali dei lavoratori, rispettare i principi generali del trattamento, fornire informazioni corrette e trasparenti agli interessati, e valutare i rischi per i diritti e le libertà delle persone fisiche.

9. Quali sono i principi generali del trattamento dei dati personali? I principi generali includono la necessità, la trasparenza, la limitazione della conservazione, e la responsabilizzazione del titolare del trattamento, come previsto dall’art. 5 del Regolamento (UE) 2016/679 (GDPR).

Il provvedimento in sintesi

Data del provvedimento	6 giugno 2024
Scopo del provvedimento	Rivedere le indicazioni sui metadati delle mail dei lavoratori da cancellare, rispondendo alle perplessità delle imprese.
Natura del documento	Orientativa, senza nuove prescrizioni o adempimenti per i titolari del trattamento.
Metadati	Informazioni registrate nei log dei sistemi server di posta elettronica, inclusi indirizzi email, indirizzi IP, orari di invio/ricezione, dimensione del messaggio, allegati, e oggetto del messaggio.
Distinzione dai contenuti delle mail	I metadati non includono il contenuto dei messaggi, che rimane sotto la disponibilità del lavoratore.
Protezione delle mail	La segretezza del contenuto delle mail è tutelata dagli articoli 2 e 15 della Costituzione, conferendo una legittima aspettativa di riservatezza.
Liceità del trattamento dei dati	Necessità di verificare la sussistenza di un idoneo presupposto di liceità prima di trattare i dati personali dei lavoratori, come stabilito dagli articoli 4 e 8 della legge n. 300/1970 e art. 10 del decreto legislativo n. 276/2003.
Principi generali del trattamento	Rispetto dei principi di necessità, trasparenza e limitazione della conservazione, oltre alla responsabilizzazione del titolare del trattamento (art. 5 del GDPR).
Periodo di conservazione dei metadati	21 giorni, con possibilità di estensione in presenza di specifiche condizioni tecniche e organizzative comprovate.
Controlli a distanza	Consentiti solo per finalità organizzative, produttive, di sicurezza del lavoro e tutela del patrimonio aziendale, con garanzie procedurali (accordo sindacale o autorizzazione pubblica).
Eccezioni ai controlli	Non si applicano agli strumenti di registrazione degli accessi e delle presenze, né agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa.