Garante per la Protezione dei Dati Personali, provvedimento del 21 dicembre 2023
Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati.
La gestione dei messaggi di posta elettronica dei lavoratori con modalità cloud può dare luogo a un trattamento dei dati personali, con la conseguente necessità di applicare tutte le garanzie e le procedure previste dalla legge. Il Garante Privacy, con il provvedimento n. 642 del 21 dicembre 2023, pubblicato sulla newsletter n. 517 del 6 febbraio 2024, comunica di aver adottato un documento di indirizzo contenente regole per la gestione da parte dei datori di lavoro (pubblici e privati) della posta elettronica dei propri dipendenti e collaboratori, utili a prevenire trattamenti di dati in contrasto con la disciplina sulla protezione dei dati personali e le norme che tutelano la libertà e la dignità dei lavoratori.
Il Provvedimento nasce dalla finalità dichiarata di prevenire il rischio che programmi e servizi informatici utilizzati dai datori di lavoro per la gestione della posta elettronica, forniti da soggetti terzi in modalità cloud, possano raccogliere, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email), conservando gli stessi per un periodo troppo esteso.
Il Garante ribadisce, in linea con il proprio consolidato indirizzo, che il contenuto dei messaggi di posta elettronica – come pure i dati esteriori delle comunicazioni e i file allegati – sono forme di corrispondenza assistite da garanzie di segretezza, tutelate anche costituzionalmente. Ciò comporta che, anche nel contesto lavorativo pubblico e privato, sussista una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza. Anche in tale ambito, pertanto, il datore di lavoro deve sempre verificare la sussistenza dei presupposti di liceità stabiliti dall’articolo 4 dello Statuto dei lavoratori. Tale norma, secondo il Garante, essendo di natura eccezionale, consente di usare gli strumenti di controllo a distanza, senza preventivo accordo sindacale o senza autorizzazione amministrativa, solo se servono alla «registrazione degli accessi e delle presenze» oppure sono necessari allo «svolgimento della prestazione». In questa ultima nozione va inclusa solo l’attività di raccolta e conservazione dei cosiddetti metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, per un tempo di poche ore o giorni.
I datori di lavoro che per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare avessero necessità di trattare i metadati per un periodo di tempo più esteso rispetto a quanto indicato dal Garante possono, quindi, farlo solo dopo aver espletato le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro). Senza tale passaggio, l’impiego dei programmi e servizi di gestione della posta elettronica in modalità cloud si porrebbe in contrasto non solo con le disposizioni contenute nello Statuto dei Lavoratori, ma altresì con la normativa in materia di protezione dei dati personali.