A cura di Francesca Tironi, Luca Saglione e Geljarda Domi
Con il provvedimento n. 642 del 21/12/2023 (denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”), il Garante della Privacy ha fornito alcune indicazioni ai datori di lavoro pubblici e privati circa l’utilizzo dei programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud o as-a-service.
Più nel dettaglio, il provvedimento nasce a seguito di accertamenti effettuati dal Garante dove è emerso il rischio che tali programmi possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail), conservando gli stessi per un esteso arco temporale.
Il Garante ha individuato le iniziative da porre in essere dai datori di lavoro per prevenire trattamenti di dati personali non conformi alla normativa vigente:
- verificare con la dovuta diligenza che i programmi e servizi informatici in questione consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di sette giorni, estensibile di ulteriori 48 ore in presenza di condizioni specifiche (o provvedere alla cessazione degli stessi);
- in caso contrario, è necessario l’esperimento delle procedure di garanzia previste dall’art. 4 dello Statuto dei Lavoratori (accordo sindacale o autorizzazione dell’Ispettorato del lavoro), in quanto l’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può comportare un indiretto controllo a distanza dell’attività del lavoratore;
- in ogni caso, deve essere assicurata la necessaria trasparenza nei confronti dei lavoratori, fornendo agli stessi una specifica informativa sul trattamento dei dati personali prima di dare inizio al trattamento.
Al contrario, la possibile responsabilità in capo al datore di lavoro si determinerebbe:
- in caso di assenza dell’espletamento delle procedure di garanzia di cui all’art. 4 dello Statuto dei Lavoratori quando la conservazione dei dati superi i 7 giorni;
- in caso di acquisizione di informazioni riferite alla sfera personale o alle opinioni dell’interessato dagli elementi ricavabili dai dati esteriori della corrispondenza, come l’oggetto, il mittente, il destinatario e altre informazioni che accompagnano i dati in transito, definendone profili temporali (come la data e l’ora di invio/ricezione), nonché dagli aspetti quali-quantitativi anche in ordine ai destinatari e alla frequenza di contatto;
- in caso di definizione di tempi di conservazione dei metadati non proporzionati rispetto alle legittime finalità perseguite;
- in caso di violazione dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita nonché quello di responsabilizzazione.
Il provvedimento in questione pone criticità di non poco conto dal punto di vista organizzativo per i datori di lavoro inerenti alle tempistiche necessarie per stipulare un accordo sindacale, in quanto il Garante sottolinea che nelle more dell’eventuale espletamento delle procedure di garanzia, i metadati non possano essere comunque utilizzati.
Il Garante non si esprime sul “destino” delle aziende in questo lasso temporale in caso di trattamento “eccessivo”: il datore di lavoro è da considerarsi responsabile?
Let’s Talk
Per maggiori informazioni