Dopo annosi, reiterati ed inutili tentativi di promuovere il principio di maggior rilievo in ambito Privacy, quello della RESPONSABILIZZAZIONE, il Garante si è arreso ed ha varato un documento di indirizzo sulla conservazione dei metadati che introduce nuove tutele per la e-mail dei dipendenti.
Ancora in troppi, oggi, non conoscono in maniera approfondita la doppia natura dell’indirizzo di posta elettronica aziendale che può assurgere sia a dato personale che a strumento di lavoro, sic et simpliciter. Ai datori di lavoro è assegnata la responsabilità di stabilire quale mail assegnare alle risorse umane presenti in azienda predisponendo, quindi, o mail “nominative” considerate come parte della corrispondenza privata del lavoratore o mail di funzione, solitamente utilizzate da più persone di una realtà che operano nello stesso ambito (marketing, sicurezza, amministrazione,…) e che, in maniera completamente intercambiabile, si sostituiscono l’uno all’altro nella medesima funzione che è, appunto, quella del ruolo che ricoprono all’interno del settore in cui si trovano ad operare.
Ai datori di lavoro non mi stancherò mai di suggerire di “informare per iscritto” e con corsi di formazione i propri dipendenti per far conoscere le “regole del gioco” in cui si troveranno ad operare, senza fraintendimenti futuri. L’adozione di un buon disciplinare riduce ed anticipa la soluzione a malintesi prima ancora del loro insorgere.
Già nel 2007, con il con il Provvedimento generale n. 13 del 1° marzo (docweb 1387978) il Garante aveva raccomandato l’implementazione di indirizzi e-mail condivisi tra più dipendenti (quelli di funzione) che, affiancati a quelli individuali, riducono i problemi legati alla privacy del singolo lavoratore, proprio perché non contengono dati personali e non vengono utilizzati per tali scopi.
Più recentemente, “nell’ambito di accertamenti condotti dal Garante con riguardo ai trattamenti di dati personali effettuati nel contesto lavorativo è emerso il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email), conservando gli stessi per un esteso arco temporale. Ciò talvolta ponendo, altresì, limitazioni al cliente (datore di lavoro) in ordine alla possibilità di modificare le impostazioni di base del programma informatico al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi.“
In tal caso, come stabilito dall’art. 88 par. 2 del GDPR, nel rispetto delle condizioni per il lecito impiego di strumenti tecnologici nel contesto lavorativo per l’impiego dei predetti programmi e servizi informatici, il datore di lavoro, in quanto titolare del trattamento, deve necessariamente verificare la sussistenza di un idoneo presupposto di liceità prima di effettuare trattamenti di dati personali dei lavoratori attraverso tali programmi e servizi.
Più nel dettaglio, quattro sono i prìncipi alla base del documento di indirizzo del Garante, precisamente:
1 – Principio di riservatezza secondo il quale il contenuto dei messaggi di posta (già tutelato agli articoli 2 e 15 della Carta costituzionale) anche nel formato elettronico è protetto dalla garanzia di riservatezza a tutela della dignità della persona.
2 – Principio di liceità (già disciplinato, nella materia del diritto del lavoro, all’art 4 dello Statuto dei Lavoratori) secondo il quale il datore di lavoro deve preventivamente verificare l’esistenza di un fondato presupposto (appunto liceità) a giustificazione del trattamento di dati personali dei lavoratori attraverso programmi informatici di gestione della posta elettronica.
3 – Principio di trasparenza che obbliga il datore di lavoro a fornire ai dipendenti, attraverso l’informativa disciplinata all’art. 13 del GDPR, tutte le informazioni essenziali previste dalla normativa e di essere pienamente consapevoli, prima che il trattamento abbia inizio, delle caratteristiche dello stesso e dei diritti loro spettanti.
Preme qui ricordare, per completezza delle informazioni, che il Garante nella Newsletter del 19 maggio 2022 https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9771607 ha ribadito in maniera “tangibile” il principio secondo il quale un datore di lavoro non può gestire l’account di posta aziendale di un collaboratore esterno in violazione delle norme sulla privacy, comminando all’azienda che lo aveva fatto una sanzione di 50.000 euro (!), oltre ad aver consentito al collaboratore di accedere alla propria casella di posta per recuperare la sua corrispondenza e disattivare l’account, informando clienti e fornitori con indirizzi alternativi.
4 – Principio di accountability inteso quale capacità di rendere conto, di spiegare ciò che si fa, previa assunzione (spontanea, oppure anche imposta dall’esterno) dell’impegno di rispondere di tutti i singoli passaggi del proprio operato, rendendoli conoscibili, spiegandoli e giustificandoli e sopportando, eventualmente, le conseguenze di una loro messa in discussione.
Gli articoli 5 (punto 2) e 24 del GDPR pongono l’accountability quale perno del vero cambiamento della normativa europea in materia di protezione dei dati personali; in capo al titolare del trattamento (datore di lavoro per i dati dei dipendenti) spetta il compito (obbligo) di valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, rendendo conseguentemente necessaria una preventiva valutazione di impatto sulla protezione dei dati personali (nota come DPIA).
Il provvedimento del Garante ha fissato dei vincoli molto restrittivi, stabilendo che i datori di lavoro non possono conservare i metadati delle email dei dipendenti (data, ora, mittente, destinatario, oggetto e dimensione) posizionati su cloud esterni oltre un periodo di tempo estremamente breve, non superiore di norma a poche ore o ad alcuni giorni, in ogni caso non oltre 7 giorni, estendibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore.
Sono esclusi da questa definizione di metadati quelli necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica (per un tempo di poche ore o giorni); un ambito di applicazione molto ristretto.
Per tutti gli altri è necessario da parte dei datori di lavoro provvedere a una verifica delle modalità di conservazione della posta elettronica presso eventuali cloud esterni, attivando tempestivamente, nel caso in cui ricorrano i presupposti indicati dal Garante o il meccanismo previsto dall’art. 4 dello Statuto dei lavoratori (che consente l’utilizzo di sistemi che generano un controllo indiretto solo se tale utilizzo viene espressamente autorizzato da un accordo sindacale) oppure, in caso di mancato accordo, è possibile chiedere l’autorizzazione all’Ispettorato nazionale del lavoro (nella sede territoriale).
Il datore di lavoro che dovesse conservare i metadati delle email dei dipendenti posizionati su cloud esterni per un periodo più lungo di quello indicato, si esporrebbe inevitabilmente al rischio di subire le sanzioni amministrative e penali previste per i casi di trattamento illecito dei dati.
Prevenire è meglio che curare. Sempre.
Scopri di più da Privacy Modena
Abbonati per ricevere gli ultimi articoli inviati alla tua e-mail.
