Trattamento delle mail dei lavoratori, nuovo intervento del Garante

---

Condividi l'articolo:

---

La gestione delle mail dei lavoratori in cloud comporta il trattamento di dati personali degli stessi, implicando quindi la necessità di rispettare le norme e le procedure previste dalla legge.

Questo il tema al centro del Provvedimento n. 9978728 del 21 dicembre 2023, reso noto però solo il 6 febbraio 2024, con cui il Garante per la privacy interviene a fissare regole e limiti per la gestione della posta elettronica dei lavoratori da parte delle aziende; l'entrata in vigore è però sospesa con Provvedimento n. 127 del 22 febbraio 2024.

Ma andiamo con ordine, ed entriamo nel dettaglio della materia, di rilevante interesse per prevenire il rischio di raccolta indiscriminata dei metadati forniti da soggetti terzi in modalità cloud, relativi all'utilizzo delle mail dei dipendenti.

Dati sensibili

La questione verte sui metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti quali, ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email, conservati a parere del Garante senza che il datore di lavoro possa modificare le impostazioni di base per disabilitarne la raccolta sistematica o ridurre il periodo di conservazione degli stessi.

Il contenuto dei messaggi di posta elettronica, i dati esteriori delle comunicazioni e i file allegati sono infatti forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente dagli articoli 2 e 15 della Costituzione, che afferiscono al nucleo essenziale della dignità della persona e al pieno sviluppo della sua personalità nelle formazioni sociali.

Infatti dagli elementi ricavabili dai dati esteriori della corrispondenza è possibile acquisire informazioni riferite alla sfera personale o alle opinioni dell’interessato.

Sotto tale profilo il Garante ricorda che lo Statuto dei lavoratori vieta al datore di lavoro di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell'attitudine professionale dello stesso.

Ne deriva perciò che anche nel contesto lavorativo sussista una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza.

Proprio per gestire e prevenire questo rischio, il Garante fornisce indicazioni ai datori di lavoro pubblici e privati sulle iniziative da adottare e sui trattamenti di dati in contrasto con la disciplina in materia di protezione degli stessi.

Controlli a distanza: limiti e tutele

Poiché l’uso dei programmi di posta elettronica in modalità cloud dà luogo a trattamenti di dati personali riconducibili a soggetti identificati o identificabili nel contesto lavorativo, il datore di lavoro deve verificare innanzitutto la sussistenza di un idoneo presupposto di liceità prima di effettuare i trattamenti stessi.

Nello specifico, il parametro da assumere a riferimento per tale verifica è dato dall’articolo 4 dello Statuto dei lavoratori; per la sua natura eccezionale, tale norma consente infatti di utilizzare gli strumenti di controllo a distanza senza accordo sindacale o autorizzazione amministrativa solo se servono alla registrazione degli accessi e delle presenze o sono necessari allo svolgimento della prestazione lavorativa.

Ma, sottolinea il garante, nella nozione di “svolgimento della prestazione lavorativa” va ricompresa solo ed esclusivamente la raccolta e la conservazione dei metadati indispensabili per assicurare il funzionamento delle infrastrutture del sistema della posta elettronica per poche ore o giorni, mentre non rientra nella nozione la generalizzata raccolta e conservazione di tali dati per un lasso di tempo più esteso.

Obblighi del datore di lavoro

Cosa deve fare, dunque, il datore di lavoro?

Egli, in quanto titolare del trattamento, è tenuto a rispettare i principi generali anche con riferimento alla necessità di fornire agli interessati in modo corretto e trasparente una rappresentazione del complessivo trattamento effettuato.

In attuazione del principio di “responsabilizzazione”, prosegue il Garante, grava sul titolare anche l’onere di valutare se i trattamenti che si intendono realizzare possano rappresentare un rischio elevato per i diritti e le libertà delle persone fisiche, cosa che, in caso di riscontro positivo, renderebbe necessaria una preventiva valutazione di impatto sulla protezione dei dati personali.

I datori di lavoro che, per esigenze organizzative, avessero dunque necessità di trattare i dati delle mail dei lavoratori per un periodo di tempo più esteso devono preventivamente espletare le procedure di garanzia previste dallo Statuto dei lavoratori, vale a dire un accordo sindacale o una richiesta di autorizzazione all’ispettorato del lavoro.

Quando entrano in vigore le nuove regole

Con Provvedimento n. 127 del 22 febbraio 2024, il Garante privacy ha rinviato l’entrata in vigore delle linee guida, avviando un percorso di consultazione pubblica volto ad acquisire pareri di esperti e operatori in merito alla concreta fattibilità delle nuove regole.

In particolare, la consultazione verte sulla congruità del termine di conservazione dei metadati degli account dei servizi di posta elettronica dei lavoratori.

I datori di lavoro, pubblici e privati, che vogliono essere coinvolti nella consultazione possono mandare al Garante osservazioni, commenti, informazioni e tutti gli elementi utili per una migliore regolazione della materia, entro 30 giorni a partire dalla pubblicazione in Gazzetta ufficiale del provvedimento, alla e mail protocollo@gpdp.it oppure protocollo@pec.gpdp.it.

L’efficacia del Provvedimento n. 9978728 del 21 dicembre 2023 viene dunque rinviata fino a quando, successivamente al termine della consultazione pubblica, non saranno adottate nuove misure: in pratica, fino a quando non sarà completato il percorso di raccolta delle opinioni, e per un massimo di novanta giorni, i datori e gli operatori che gestiscono i cloud dove sono collocate le e-mail aziendali non dovranno apportare modifiche alle politiche di conservazione.