Vuoi ricevere i nostri aggiornamenti?

Registrati per accedere ai contenuti riservati e iscriverti alla nostra newsletter

Posta elettronica e dipendenti: le indicazioni del Garante Privacy su raccolta e conservazione dei metadati

23/02/2024

Programmi e servizi informatici usati dai datori di lavoro per la gestione delle e-mail possono raccogliere, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica dei lavoratori, come ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail.

Non solo, esiste il rischio che li conservino per un periodo di tempo molto esteso.

Questo è quanto emerso da alcuni recenti accertamenti condotti dal Garante Privacy in merito al trattamento di dati personali nel contesto lavorativo.

Si tratta in particolare di prodotti di mercato forniti in modalità cloud o as-a-service.

In alcuni casi, tra l’altro, risulta impossibile per i datori di lavoro modificare le impostazioni di base del programma informatico per disabilitare la raccolta sistematica di tali dati o ridurre il periodo di conservazione degli stessi.

Da qui, è nata l’esigenza del Garante privacy di intervenire per rendere più consapevoli i datori di lavoro pubblici e privati rispetto le loro scelte organizzative e di fornire loro alcune indicazioni per prevenire violazioni in materia di protezione dei dati personali e giuslavoristica.

Cosa stabilisce il documento di indirizzo del Garante

Con questo scopo, il Garante con il provvedimento del 21 dicembre 2023 ha adottato il Documento di indirizzo in materia di “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro sia pubblici che privati.

Già nel 2007 l’Autorità aveva emanato le Linee guida sull’utilizzo della posta elettronica nel rapporto di lavoro ricordando che il contenuto dei messaggi di posta elettronica – come pure i dati esteriori delle comunicazioni e i file allegati – riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali.

Il recente Documento di indirizzo interviene in particolare per stabilire che l’attività di raccolta e conservazione dei soli metadati (necessari per assicurare il funzionamento delle infrastrutture del sistema di posta elettronica) non può essere superiore a sette giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore. In caso sia necessaria una raccolta sistematica e una conservazione più estesa, allora si dovranno attivare le garanzie previste dall’articolo 4, comma 1, dello Statuto dei lavoratori.

In altri termini, quando un programma o servizio informatico di gestione della posta elettronica può comportare un indiretto controllo a distanza dell’attività dei lavoratori, allora il datore di lavoro deve ottenere un accordo sindacale o l’autorizzazione dell’Ispettorato del lavoro prima dell’utilizzo dei suddetti programmi o servizi.

Le possibili conseguenze per i datori di lavoro

Alla luce di tutto quanto detto sopra, il datore di lavoro che nell’impiegare programmi e servizi di gestione della posta elettronica, raccoglie sistematicamente i metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti, e li conserva per un periodo superiore a sette giorni (estensibili di ulteriori 48 ore) viola la disciplina di settore (articolo 4, comma 1, dello Statuto dei lavoratori) e la normativa in materia di protezione dei dati personali (articoli 5, paragrafo 1, lettera a), 6 e 88, paragrafo 1, del GDPR e articolo 114 del Codice privacy).

In aggiunta, il datore di lavoro può incorrere nella violazione del principio di “limitazione della conservazione” (articolo 5, paragrafo 1, lettera e) del GDPR), se non definisce i tempi di conservazione in maniera proporzionata alle finalità di trattamento connesse in particolare alla sicurezza informatica e alla tutela del patrimonio informativo. Il periodo di conservazione, dunque, dovrà essere congruo all’obiettivo di gestire eventuali incidenti di sicurezza.

Ulteriore violazione che può essere prospettata è quella relativa al principio di protezione by design e by default ai sensi dell’articolo 25 del GDPR che deve essere rispettato durante l’intero ciclo di vita dei dati, trattando – e quindi anche conservando – per impostazione predefinita solo i dati strettamente necessari al perseguimento della specifica finalità.

Le criticità sul piano operativo e gli adempimenti

Sul piano teorico la ratio di questo provvedimento è chiara: ricordare la “responsabilità generale” del titolare anche sui trattamenti effettuati utilizzando prodotti o servizi realizzati da terzi.  Infatti, in virtù del principio di accountability, il titolare deve accertarsi che siano disattivate le funzioni incompatibili con le finalità del trattamento o in contrasto con specifiche norme di settore, soprattutto in ambito lavorativo, commisurando adeguatamente i tempi di conservazione dei dati.

Da un punto di vista pratico, però, si tratta di una prescrizione a cui adempiere può essere molto complesso e che può incidere fortemente su alcuni aspetti organizzativi.

La gestione dei log della posta e delle attività degli utenti è ormai fondamentale per garantire la tutela del patrimonio di un’organizzazione, a partire dalla sicurezza informatica, aiutando a rilevare tempestivamente e prevenire potenziali minacce all’integrità, riservatezza e disponibilità dei dati ma anche a tutela degli asset e delle informazioni riservate aziendali, identificando comportamenti anomali o tentativi di accesso non autorizzato.

D’altra parte, come già indicato, il Garante non vieta in modo perentorio la conservazione oltre i 7 giorni, ma richiede piuttosto una valutazione da parte del datore dei metadati conservati e delle modalità e tempi di conservazione e l’adozione di una serie di misure organizzative.

Il datore di lavoro dovrà verificare con i propri IT modalità e tempi di conservazione dei metadati e, successivamente, nell'ipotesi in cui intenda conservare i metadati delle e-mail in uso ai dipendenti per un periodo superiore a 7 giorni per finalità di sicurezza informatica, tutela dell’integrità del patrimonio o esigenze difensive,

  • ricercare un accordo sindacale o avviare le procedure per la richiesta di autorizzazione all'Ispettorato del lavoro,
  • eseguendo contestualmente una
  • Valutazione di impatto sulla protezione dei dati personali (DPIA) ai sensi dell'articolo 35 del GDPR,
  • un test di bilanciamento del legittimo interesse del datore di lavoro ed
integrando l'Informativa privacy relativa all'utilizzo della posta elettronica da parte dei dipendenti.