Posta elettronica dipendenti: il nuovo documento del Garante

Giu 17, 2024 | Data Protection, Diritto Commerciale

 

Posta elettronica dei lavoratori_due

Documento di indirizzo

 

Provvedimento del 6 giugno

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10026277 

 

Il precedente provvedimento

Con un intervento dello scorso dicembre, pubblicato a febbraio (provv. del 21 dicembre 2023, n. 642, doc. web n. 9978728), il Garante era intervenuto in materia di programmi di gestione della posta elettronica nel contesto lavorativo.

Lo scopo era quello di evidenziare come programmi e servizi di posta elettronica in uso ai lavoratori, in particolare nel caso di applicativi commercializzati da fornitori in cloud, possano raccogliere, di default, preventivamente e in modo generalizzato, metadati (ossia dati relativi ad altri dati) relativi all’utilizzo dei servizi di posta in uso ai dipendenti, conservando gli stessi per periodi eccessivamente dilatati.

Ciò in spregio del divieto, per il datore, di acquisire e trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del dipendente: la posta elettronica, in generale, è infatti e innanzitutto una forma di corrispondenza privata tutelata costituzionalmente; in secondo luogo, essa è uno strumento che, se analizzato tecnicamente per il tramite dei metadati, idoneo a consentire un “monitoraggio” delle attività del dipendente vietato, in linea di principio, dall’art. 4 dello Statuto ed ammesso solo a particolari e limitate condizioni.

Il provvedimento originario stabiliva un termine di conservazione massimo di una settimana.

Le numerose perplessità suscitate e le richieste di chiarimenti pervenute avevano dato luogo all’avvio di una consultazione pubblica (doc. web n. 9987885).

 

Il documento di indirizzo del 6 giugno

Qualche giorno fa l’Autorità ha pubblicato un nuovo documento, con diverse modifiche rispetto alla versione originaria.

 

 

Ricapitolando

Il contenuto dei messaggi di posta elettronica, i dati esteriori delle comunicazioni e gli allegati sono corrispondenza che deve avere caratteristiche di segretezza, perché riguarda la dignità della persona (artt. 2 e 15 Cost.).

Il lavoratore ha una legittima aspettativa di riservatezza, anche nel caso in cui l’account gli sia fornito dall’azienda.

Fornire un indirizzo di posta ad un dipendente significa in ogni caso trattare dati di un dipendente.

Questo trattamento di dati del lavoratore deve essere fatto in modo lecito, non solo secondo i dettami del Regolamento Generale sulla data protection ma anche secondo il principio fondamentale dell’art. 4 dello Statuto dei Lavoratori, che non consente attività di monitoraggio del lavoratore o, comunque, di acquisizione di informazioni non rilevanti ai fini dello svolgimento delle prestazioni, al fine di valutare l’attitudine professionale se non a specifiche e stringenti condizioni.

 

Strumenti di possibile controllo

Gli strumenti da cui possa derivare un controllo dell’attività, innanzitutto, possono essere utilizzati esclusivamente in presenza di tre finalità:

  • esigenze organizzative e produttive;
  • sicurezza del lavoro;
  • tutela del patrimonio aziendale.

Ferme queste finalità, è ulteriormente necessario un accordo con le rappresentanze sindacali o, in mancanza, una specifica autorizzazione dell’Ispettorato del Lavoro.

 

Le esclusioni

Posta questa regola, vi sono due eccezioni, ovviamente da interpretarsi con stretto rigore.

E’ quindi possibile per il datore di lavoro utilizzare strumenti dai quali possa derivare un controllo, anche indiretto, della prestazione lavorativa, senza necessità di accordo o di autorizzazione, solo in caso di:

  • strumenti di registrazione degli accessi e di
  • strumenti utilizzati per rendere la prestazione lavorativa.

 

L’indicazione del Garante in tema di conservazione

 

 

Metadati

Opportuno precisare che il provvedimento specifica che i metadati cui si riferisce sono le informazioni registrate nei log generati dai sistemi server che gestiscono e distribuiscono la posta elettronica

Questi metadati includono dettagli sulle operazioni di invio, ricezione e smistamento dei messaggi, come gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client, gli orari di invio, ritrasmissione o ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in alcuni casi, anche l’oggetto del messaggio inviato o ricevuto.

Non si tratta, quindi, delle informazioni contenute nei messaggi stessi, nel corpo degli email, né delle informazioni integrate nei messaggi che costituiscono il cosiddetto “envelope”, ossia l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici.

 

Liceità

Il documento richiama, poi, ulteriori note prescrizioni in tema di trattamento dei dati dei lavoratori, soffermandosi sulla generale liceità del trattamento, per cui la conservazione e la gestione, se effettuate al di fuori dei limiti indicati, generano illiceità e conseguente inutilizzabilità dei dati e delle informazioni per necessità connesse al rapporto di lavoro.

Ciò significa, come noto, che dati trattati illecitamente non saranno utilizzabili, per esempio, per motivi disciplinari, oltre a generare, in capo all’azienda, responsabilità per trattamento illecito.

 

Informativa

Ulteriori, comprensibili indicazioni, l’Autorità fornisce in merito alla necessaria trasparenza informativa da fornire agli interessati, ossia ai dipendenti: è  essenziale che gli interessati siano resi pienamente consapevoli delle complessive caratteristiche del trattamento (specificando i tempi di conservazione dei dati, gli eventuali controlli, ecc.)..

 

Accountability e verifiche del fornitore

Un aspetto di non poca rilevanza è dato, infine, all’invito alle aziende, in ottica di responsabilizzazione, a “verificare che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-serviceconsentano al cliente (datore di lavoro) di rispettare la disciplina di protezione dei dati nei termini indicati nel documento di indirizzo, anche con riguardo al periodo di conservazione dei metadati”.

Che dovrebbe significare che l’azienda dovrà chiedere al proprio provider sistemi e applicativi adeguati e conformemente progettati.

Richiesta che, evidentemente, in molti casi non appare agevolmente percorribile.