È stato pubblicato il 06/02/2024 il provvedimento del 21/12/2023 con cui il Garante della privacy ha adottato il documento di indirizzo sui Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento di metadati.

Il documento è complesso ed è già stato oggetto di ampio dibattito tra gli esperti in materia di privacy e di diritto del lavoro, tant’è che nei giorni scorsi lo stesso Ministero del Lavoro ha preannunciato che si sta cercando di individuare una corsia semplificata con l’Ispettorato del lavoro, in quanto dobbiamo fare in modo che le aziende possano adempiere agli obblighi senza troppe complicazioni.

Cerchiamo di semplificare.

Quali sono le indicazioni del Garante?

In sintesi, il Garante ha affermato che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente nel caso in cui siano in modalità cloud o as-a-service – devono impedire al datore di lavoro la raccolta dei metadati (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email) o comunque limitarne il periodo di conservazione per un periodo massimo di 7 giorni, estensibile per massimo 48 ore in presenza di comprovate e documentate esigenze.

Qualora, per esigenze organizzative o produttive o di protezione del patrimonio, i datori di lavoro abbiano la necessità di trattare i metadati per un periodo superiore, dovranno espletare le procedure di garanzia previste dell’art. 4 dello Statuto dei Lavoratori: per intenderci stiamo parlando delle procedure previste per l’installazione degli impianti di videosorveglianza, che prevedono la stipula di un accordo con le rappresentanze sindacali o l’ottenimento dell’autorizzazione da parte dell’Ispettorato del lavoro.

In assenza dell’espletamento delle procedure dell’art. 4, l’utilizzo di tali programmi e servizi informatici per un tempo superiore a quello indicato dal Garante (7 giorni, estensibile di ulteriori 48 ore in presenza di determinate condizioni) rende inutilizzabili i metadati e sanzionabile il datore di lavoro.

Quali sono le finalità del provvedimento?

Il documento ha la finalità di tutelare il trattamento di dati personali nel contesto lavorativo per prevenire il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti, conservando gli stessi per un esteso arco temporale.

L’impiego di tali programmi e servizi informatici dà, infatti, luogo a “trattamenti” di dati personali, riferiti a “interessati”, identificati o identificabili nel contesto lavorativo.

Pertanto, è necessario che il datore di lavoro – in quanto titolare – prima di effettuare il trattamento di dati personali dei lavoratori – in quanto interessati – attraverso tali programmi e servizi, osservi scrupolosamente tutti gli adempimenti in materia di privacy.

Non solo, come si evince dal provvedimento, i dati acquisiti con i predetti programmi e servizi informatici deve essere fatto nel rispetto dell’art. 4 dello Statuto dei Lavori, in quanto l’utilizzo dei metadati può consentire un controllo sui lavoratori.

Dagli elementi ricavabili dai dati esteriori della corrispondenza (metadati), come l’oggetto, il mittente e il destinatario e altre informazioni che accompagnano i dati in transito, definendone profili temporali (come la data e l’ora di invio/ricezione), nonché dagli aspetti quali-quantitativi anche in ordine ai destinatari e alla frequenza di contatto (in quanto anche questi dati sono, a propria volta, suscettibili di aggregazione, elaborazione e di controllo), è possibile acquisire informazioni riferite alla sfera personale o alle opinioni del lavoratore.

Cosa occorre fare?

Inutile farsi prendere dal panico, le soluzioni ci sono.

Innanzitutto, il datore di lavoro deve verificare il sistema di gestione della posta elettronica in uso e il sistema di conservazione dei metadati attualmente osservato.

Il datore di lavoro deve poi valutare la congruità del sistema e in particolare del tempo di conservazione dei metadati rispetto alle esigenze organizzative, produttive e di protezione del patrimonio e, di conseguenza, attivare, se del caso, le procedure dell’art. 4 dello Statuto dei Lavoratori per conservare i metadati oltre il termine indicato dal Garante.

Last but not least il datore di lavoro deve verificare di essere in regola con gli adempimenti in materia di privacy, tra cui valutare le condizioni di liceità per il trattamento dei dati dei dipendenti, aggiornare l’informativa sul trattamento dei dati, verificare gli eventuali rischi per i diritti e le libertà degli interessati connessi al trattamento e, in caso di rischio elevato, realizzare la valutazione di impatto.