Con il provvedimento n. 642 del 21/12/2023 il Garante Privacy ha emanato un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, rivolto ai datori di lavoro pubblici e privati, con cui porta alla luce una situazione tanto diffusa quanto di potenziale rischio per l’effettiva tutela dei dati personali dei dipendenti.
Da alcuni accertamenti effettuati dall’Autorità Garante è, infatti, emerso che questi programmi e servizi informatici, forniti in modalità cloud, potrebbero comportare una raccolta sistematica di informazioni relative all’utilizzo della posta elettronica e una conservazione di tali dati prolungata nel tempo, senza che i datori di lavoro (utilizzatori del servizio) possano impostare concretamente quali dati raccogliere e per quanto tempo conservarli.
Di quali dati si parla?
L’analisi del Garante parte dalla conferma un principio consolidato in tema di dati personali dei lavoratori: il contenuto dei messaggi di posta elettronica, anche nell’ambito lavorativo, rientra nel concetto di corrispondenza che gode di garanzie di segretezza tutelate anche costituzionalmente. Questa premessa, e la relativa applicazione della normativa in materia di protezione dei dati personali, viene estesa a tutti i metadati, vale a dire: giorno, ora, mittente, destinatario, oggetto, dimensione dell’e-mail e tutto l’insieme di informazioni relative all’uso della posta elettronica, che complessivamente considerate possono determinare un rischio di monitoraggio sistematico dei dipendenti, ai quali si applicano anche le tutele previste dallo Statuto dei Lavoratori.
Cosa succede, allora?
In applicazione di principi fondamentali in materia (responsabilizzazione, privacy by design e by default, liceità e minimizzazione del trattamento), nonché dell’art. 4 della L. 300/1970 (St. Lav.), ai datori di lavoro viene quindi richiesto di verificare se tali programmi consentono loro di modificare le impostazioni di base, stabilendo in modo preventivo quali dati raccogliere (riducendoli solo a quelli effettivamente necessari) e limitandone il periodo di conservazione (il Garante stabilisce, come regola generale, un periodo massimo 7 giorni, prolungabili di altre 48 ore in casi particolari).
E se i sistemi informatici non consentono al datore di lavoro di impostare questi requisiti?
Allora l’utilizzo di questi strumenti sarà considerato una forma di controllo a distanza dei lavoratori e troverà applicazione lo Statuto dei Lavoratori. Ciò comporta la necessità di un accordo con le sigle sindacali o, in alternativa, di ottenere l’autorizzazione dell’Ispettorato del lavoro per poter utilizzare lecitamente questi sistemi.
Quali sono le conseguenze se non si applicano le indicazioni del Garante?
Il Garante ha ribadito che il titolare del trattamento anche quando ricorre a servizi o prodotti realizzati e forniti da soggetti terzi è tenuto a verificare la loro conformità alla normativa vigente.
Pertanto, l’utilizzo di servizi di gestione della posta elettronica in cloud, senza una adeguata implementazione delle misure indicate dal Garante, comporterebbe una violazione tanto delle norme in materia di tutela dei diritti dei lavoratori prevista con lo Statuto dei Lavoratori quanto di quelle in materia di protezione dei dati personali delle persone fisiche, con possibile applicazione di sanzioni anche importanti in caso di accertamento delle violazioni.
Le domande restano chiaramente tante…
Come verificare le impostazioni dei servizi?
Quali dati sarebbe ragionevole raccogliere?
Come procedere per presentare un’istanza ai sensi dell’art. 4 dello Statuto dei lavoratori?
E i datori di lavoro possono conservare quei dati internamente?
Con quali cautele e per quanto tempo?
Stiamo organizzando un webinar dedicato al tema per dissipare ogni eventuale dubbio e guidarvi attraverso gli step necessari.
Vi terremo informati con un prossimo aggiornamento.
