Con la presente, desidero fornire alcune delucidazioni in merito al recente Provvedimento del 21 dicembre 2023 del Garante per la Privacy, riguardante il documento di indirizzo sui "Programmi e Servizi Informatici di Gestione della Posta Elettronica nel Contesto Lavorativo e Trattamento dei Metadati".
Il Garante ha adottato questo documento con l'intento di fornire indicazioni ai datori di lavoro, sia pubblici che privati, nonché ad altri soggetti coinvolti nel contesto lavorativo, al fine di promuovere la consapevolezza delle scelte organizzative e prevenire trattamenti illeciti dei dati personali dei dipendenti, contrastanti con le norme sulla protezione dei dati e la dignità lavorativa.
Durante gli accertamenti effettuati, l’Autorità ha riscontrato che alcuni programmi e servizi informatici per la gestione della posta elettronica, offerti da fornitori in modalità cloud-based, conservano in modo predefinito e generalizzato dati personali degli utenti, (i c.d. "metadati") per un periodo temporale esteso e non conforme.
Nel documento di indirizzo si legge che fra questi metadati vi sono: il giorno, l’ora, il mittente, il destinatario, l’oggetto e la dimensione dell'e-mail. Tuttavia il Garante non fornisce una definizione di metadati ma si limita a riportare gli esempi di cui sopra.
Il Garante, attraverso il documento di indirizzo, richiede testualmente “ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base” al fine di limitare la conservazione dei metadati “ad un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore”.
In caso di necessità di conservazione dei metadati oltre i termini indicati, è richiesto un accordo sindacale o l'autorizzazione dell'ispettorato del lavoro. La mancanza di tali autorizzazioni potrebbe configurare un controllo indiretto a distanza del lavoratore, vietato per legge (art. 4 L. 300/70).
Si sottolinea che il trattamento dei metadati non riguarda direttamente il contenuto delle e-mail, bensì la gestione degli stessi, e quindi "dati sui dati" aggregati alle caselle di posta elettronica dei dipendenti.
Il Garante richiama inoltre l'obbligo di informativa del titolare del trattamento ai lavoratori interessati, in linea con il principio di accountability previsto dal GDPR, pertanto, si rende necessario aggiornare adeguatamente l’informativa per i dipendenti (sentenza della Corte Europea dei Diritti dell’Uomo del 5 settembre 2017 – Ricorso n. 61496/08).
Non solo, una volta conosciuti i metadati trattati, si dovrà procedere ad apposita DPIA, in quanto Il Gruppo di Lavoro ex art. 29 con il WP 248 del 4 aprile 2017, ha precisato che la necessità della DPIA ricorre “in caso di raccolta e memorizzazione dei metadati relativi all’impiego della posta elettronica, stante la particolare vulnerabilità degli interessati nel contesto lavorativo, nonché il rischio di monitoraggio sistematico inteso come trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti”.
In conclusione, è fondamentale verificare che i programmi e i servizi informatici di gestione della posta elettronica consentano la modifica delle impostazioni al fine di ridurre il termine di conservazione dei metadati a 7 giorni. In caso contrario sarà necessario seguire due possibili approcci: 1) seguire le procedure di garanzia indicate dalla normativa di settore (come previsto dall'articolo 4 della legge 300/1970 – Accordo sindacale o autorizzazione della DTL); 2) interrompere l'uso di quei programmi e servizi informatici. È da specificare che, durante il periodo in cui si stanno attuando le procedure di garanzia, i metadati in questione non possono essere utilizzati in nessun caso (conformemente all'articolo 2-decies del Codice).
Torna ad Articoli e News