Il Garante per la Protezione dei Dati Personali, il 14 giugno scorso ha pubblicato il “Provvedimento del 6 giugno 2024 - Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, ovvero la versione aggiornata - all’esito della consultazione pubblica avviata dallo stesso Garante - del provvedimento pubblicato a febbraio 2024 in merito alla conservazione dei dati relativi alle email aziendali.
In particolare, con il provvedimento di febbraio il Garante ha ritenuto che alcuni programmi e servizi informatici per la gestione della posta elettronica, specialmente se forniti in modalità cloud, sono configurati in modo da raccogliere e conservare i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti e, quindi, ciò può comportare un indiretto controllo a distanza dei lavoratori da parte dei propri datori di lavoro, nel caso in cui tali informazioni siano conservati per un periodo di tempo maggiore di 7 giorni (eventualmente prorogabili di 48 ore). A detta del Garante, dunque, per poter conservare i metadati per un periodo maggiore di tempo era necessario ottenere una autorizzazione dell’ispettorato del lavoro o un apposito accordo sindacale.
Il provvedimento aggiornato chiarisce, innanzitutto, cosa sono i “metadati”, tecnicamente “informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni client (MUA = Mail User Agent)”, vale a dire: indirizzi e-mail di mittente e destinatario, indirizzi IP dei server o client coinvolti, orari di invio, ritrasmissione o ricezione, dimensione del messaggio, presenza e dimensione di eventuali allegati e, a volte, l’oggetto del messaggio.
Inoltre, con tale nuovo provvedimento, è stato stabilito che la conservazione dei metadati delle e-mail può avvenire per un periodo massimo di 21 giorni (in luogo dei 7 giorni previsti dal precedente provvedimento). Occorre segnalare che non sono noti gli elementi che hanno portato il Garante a decidere per tale durata e, quindi, se sia stato determinato grazie ai contributi all’esito della consultazione pubblica o da altri elementi tecnici acquisiti. Qualora il datore di lavoro intenda conservare i metadati per un tempo superiore – in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente (in un’ottica di accountability) le specificità della realtà tecnica e organizzativa del titolare – il Garante continua a ritenere che ciò configurerebbe un indiretto controllo a distanza dell’attività dei lavoratori che richiederebbe, pertanto, il ricorso alle procedure di garanzia previste dall’art. 4, comma 1, Statuto dei lavoratori (accordo sindacale o autorizzazione dell’Ispettorato del lavoro).
Con riferimento ai profili di illiceità, la raccolta e la conservazione dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti, per un periodo di tempo esteso e in assenza di idonei presupposti, può determinare la possibilità per il datore di lavoro di acquisire informazioni relative alla sfera personale o alle opinioni dell’interessato, e quindi non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore, in violazione dell’art. 8 Statuto dei Lavoratori (ai sensi del quale è fatto divieto “effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché sui fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore”).
La portata del provvedimento è di notevole impatto per le aziende, infatti i datori di lavoro pubblici e privati dovranno adottare le misure necessarie a conformare i propri trattamenti di dati personali, al fine di prevenire eventuali responsabilità sul piano sia amministrativo che penale. In particolare, spetta al titolare del trattamento (provider) verificare che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente in caso di prodotti di mercato forniti in modalità cloud o as-a-service - consentano al datore di lavoro di rispettare la disciplina di protezione dei dati, anche con riferimento al periodo di conservazione dei metadati indicato nel provvedimento.
Authored by Massimiliano Masnada, Giulia Maccioni, and Alessandro Bacchilega.
