Trattamento dei metadati contenuti nelle e-mail dei dipendenti: tempi di conservazione dei dati

datiemetadati

Il Garante Privacy ha approvato un Documento di indirizzo relativamente ai “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”. Il documento è stato adottato al fine di fornire indicazioni ai datori di lavoro pubblici e privati e agli altri soggetti a vario titolo coinvolti, al fine di promuovere la consapevolezza delle scelte, anche organizzative, dei titolari del trattamento, nonché a prevenire trattamenti di dati in contrasto con la disciplina in materia di protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori (artt. 113-114 Codice Privacy).

sistemainformatico

1. Cosa sono i sistemi informatici di posta elettronica e i metadati?

Un sistema informatico di gestione della posta elettronica, noto anche come sistema di posta elettronica o client di posta elettronica, è un’applicazione software che consente agli utenti di inviare, ricevere, organizzare e gestire le proprie e-mail. Questi sistemi forniscono un’interfaccia utente per accedere alle caselle di posta elettronica, visualizzare i messaggi ricevuti, comporre nuovi messaggi, rispondere ai messaggi esistenti e organizzare la posta in arrivo. Esistono diversi sistemi informativi di gestione della posta elettronica, uno dei più noti è Gmail.

metadati sono informazioni strutturate che forniscono dettagli descrittivi su altri dati. In sostanza, sono “dati sui dati”. I metadati forniscono contesto e significato ai dati principali, aiutando a organizzarli, a comprenderli e a utilizzarli in modo più efficiente. Nelle e-mail, i metadati possono includere, ad esempio, informazioni come l’indirizzo e-mail del mittente e del destinatario, l’oggetto dell’e-mail, la data e l’ora di invio e di ricezione, i server di posta attraverso cui è passata l’e-mail, gli allegati.

2. Il rischio accertato dal Garante Privacy

Il Garante ha adottato il documento di indirizzo sopra citato dopo aver accertato il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possono raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail), conservando gli stessi per un esteso arco temporale. Il Garante evidenzia, inoltre, come questi sistemi non sempre permettano al datore di lavoro di modificare le impostazioni del sistema di posta elettronica, al fine di ridurre il periodo di conservazione degli stessi. 

A tal proposito, il Garante Privacy ha più volte affermato che il contenuto dei messaggi di posta elettronica– come pure i dati esteriori delle comunicazioni e i file allegati – siano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente (artt. 2 e 15 Cost.). Pertanto,  anche nel contesto lavorativo pubblico e privato, sussiste una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza (v. punto 5.2 lett. b), delle “Linee guida del Garante per posta elettronica e Internet” del 1° marzo 2007, n. 13, doc. web n. 1387522; cfr., tra i tanti, provv. 4 dicembre 2019, n. 216, doc. web n. 9215890 e i precedenti in esso citati).

e mail

3. Obblighi del datore di lavoro

Il datore di lavoro, in qualità di titolare del trattamento,  è tenuto a rispettare i principi generali del trattamento dei dati personali (artt. 5, 24 e 25 del Regolamento UE 679-2016) e a porre in essere tutti gli adempimenti previsti dalle disposizioni normative in materia di protezione dei dati personali (artt. 12, 13, 14, 30, 32 e 35 del Regolamento UE 679-2016). Il titolare deve fornire agli interessati – prima di effettuare il trattamento – in modo trasparente, una chiara rappresentazione del trattamento effettuato, consentendo agli stessi di disporre di tutti gli elementi informativi essenziali previsti dal Regolamento UE 679-2016. 

È doveroso ricordare, inoltre, come in attuazione del principio di “responsabilizzazione” (cfr. art. 5, par. 2, e 24 del Regolamento UR 679-2016), spetti al titolare valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche – in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalità perseguite – che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali (cfr. cons. 90 e artt. 35 e 36 del Regolamento). 

L’utilizzo dei citati servizi informatici dà luogo a “trattamenti” di dati personali riferiti a “interessati” identificati o identificabili (art. 4, par. 1, nn. 1) e 2), del Regolamento) nel contesto lavorativo. Per tale motivo, è necessario che il datore di lavoro, in quanto titolare del trattamento, verifichi la sussistenza di un idoneo presupposto di liceità (cfr. artt. 5, par. 1, lett. a) e 6 del Regolamento) prima di effettuare trattamenti di dati personali dei lavoratori attraverso sistemi informatici di gestione della posta elettronica

In particolare, il datore di lavoro dovrà verificare la sussistenza dei presupposti di liceità stabiliti dall’art. 4 della l. 20 maggio 1970, n. 300, cui fa rinvio l’art. 114 del Codice Privacy (D.Lgs. n. 196/2003), nonché il rispetto delle diposizioni che vietano al datore di lavoro di acquisire e comunque trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata (art. 8 della l. 20 maggio 1970, n. 300 e art. 10 d.lgs. 10 settembre 2003, n. 276, cui fa rinvio l’art. 113 del Codice Privacy).

L’art. 4, comma 1, dello Statuto dei Lavoratori stabilisce tassativamente le ipotesi in cui il datore di lavoro può utilizzare strumenti di controllo a distanza dei lavoratori, cioè per perseguire specifiche finalità organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale, a condizione che il datore di lavoro rispetti specifiche garanziei) promuova un accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali o, in alternativa, ii) ottenga una preventiva autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro (o dalla sede centrale nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali)

L’obbligo del datore di lavoro di rispettare le sopra citate garanzie, non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze (art. 4, comma 2, L. n. 300/1970).

Per quanto concerne l’attività di raccolta e conservazione dei soli c.d. metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, affinché sia ritenuto applicabile il sopra citato comma 2 dell’art. 4 della L. n. 300/1970, il tempo di conservazione non può essere superiore 7 giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore (v. provv.ti nn. 303 del 13 luglio 2016, doc. web n. 5408460; 1° febbraio 2018, n. 53, doc. web n. 815922129 ottobre 2020, n. 214, doc. web n. 951889029 settembre 2021, n. 353, doc. web n. 9719914). 

 

cosadevefaredatorelavoro

4. Cosa deve fare “in concreto” il datore di lavoro?

Riassumiamo qui di seguito gli step che dovrebbe seguire il datore di lavoro:

  1. 1) dovrà valutare se i trattamenti che intende realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, anche in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalità perseguite, tali da rendere necessaria una preventiva valutazione di impatto sulla protezione dei dati personali;
  2. 2) in particolare, dovrà verificare se i sistemi informatici di posta elettronica che si intendono utilizzare diano la possibilità di regolare l’impostazione sui metadati e i tempi di conservazione degli stessi; qualora non fosse possibile, dovrà cessare l’utilizzo di quel sistema informatico;
  3. 3) o, in alternativa, se intende trattare i metadati relativi all’utilizzo della posta elettronica dei dipendenti e conservarli per un arco temporale superiore a 7 giorni (estensibili di ulteriori 48 ore)  dovrà promuovere un accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali o, in alternativa, ottenere una preventiva autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro (o dalla sede centrale nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali). 

Tenuto conto delle implicazioni pratiche del provvedimento del Garante e delle numerose richieste di chiarimento ricevute da imprese di tutto il Paese, il Garante Privacy ha ritenuto opportuno “avviare una consultazione pubblica della durata di 30 giorni a partire dalla data di pubblicazione dell’avviso pubblico di avvio della medesima consultazione sulla Gazzetta Ufficiale, volta ad acquisire osservazioni e proposte in merito alla congruità, in relazione alle finalità perseguite dai datori di lavori pubblici e privati, del termine di conservazione dei metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica e relativi alle operazioni di invio, ricezione e smistamento dei messaggi di posta elettronica (che possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei computer coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione e di ricezione, la dimensione del messaggio, la presenza e la dimensione degli eventuali allegati, in certi casi anche l’oggetto del messaggio spedito o ricevuto) e, più in generale alle forme e modalità di utilizzo di tali metadati che ne renderebbero necessaria una conservazione superiore a quella ipotizzata nel citato documento di indirizzo”.

Il Documento di indirizzo è, pertanto, sospeso sino all’esito della consultazione pubblica.

5. Sanzioni

dati

Se il datore di lavoro non attiva le garanzie previste dallo Statuto dei Lavoratori prima di dare avvio alla preventiva e sistematica raccolta dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti e alla conservazione degli stessi per un arco temporale superiore a 7 giorni (estensibili di ulteriori 48 ore) realizzerà un trattamento illecito dei dati personali, esponendosi alle conseguenti sanzioni.

In particolare, la mancata attivazione delle garanzie previste dallo Statuto dei lavoratori – nell’ipotesi sopra descritta – espone il datore di lavoro alle sanzioni di cui all’art. 38 dello Statuto, che prevede, salvo che il fatto non costituisca più grave reato, l’ammenda da euro 154 a euro 1549 o l’arresto da 15 giorni ad un anno.

***

avv. Gianfranco Leggio

(Tutti i diritti riservati)

Aggiornato al 23 marzo 2024

Se hai bisogno di assistenza per applicare il Documento di Indirizzo del Garante Privacy: Prenota una Consulenza

top