Il Garante per la protezione dei dati personali (il “Garante” o l’”Autorità”) ha recentemente reso pubblico un documento di indirizzo, adottato lo scorso 21 dicembre, sulla conservazione dei dati relativi alle e-mail aziendali, denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (il “Documento”), rivolto ai datori di lavoro pubblici e privati. Il Documento nasce a seguito di accertamenti effettuati dall’Autorità con riguardo ai trattamenti di dati personali nel contesto lavorativo dai quali è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud o as-a-service (SaaS), sono spesso configurati di default in modo tale da raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad es., giorno, ora, mittente, destinatario, oggetto e dimensione della mail), conservando gli stessi per un arco temporale troppo esteso. Ciò, talvolta, ponendo limitazioni anche al datore di lavoro in ordine alla possibilità di modificare le impostazioni di base del programma informatico utilizzato al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi. Con il Documento, dunque, il Garante, tenuto conto degli elevati rischi per i diritti e le libertà degli interessati, ha voluto fornire ulteriori indicazioni – oltre a quelle già fornite in precedenti provvedimenti (es. “Linee guida del Garante per posta elettronica e Internet” del 2007, provv. del 4.12.2019, n. 216 e i precedenti in esso citati) – volte a prevenire iniziative e trattamenti in contrasto con la disciplina in materia di protezione dei dati (i.e. il Regolamento (UE)2016/679 e il D. L.gs. n. 196/2003, come modificato dal D. Lgs. n. 101/2018, e le norme che tutelano la libertà e la dignità dei lavoratori (i.e. la L. 300/1970 e ss.mm. - lo “Statuto dei Lavoratori”). Il Documento si basa essenzialmente su quattro principi fondamentali: Il contenuto dei messaggi di posta elettronica – come pure dei dati esteriori delle comunicazione e i file allegati – è assistito da garanzie di riservatezza tutelate anche a livello costituzionale (artt. 2 e 15 Cost) che proteggono il nucleo essenziale della dignità della persona e il pieno sviluppo della sua personalità nelle formazioni sociali. Il datore di lavoro, in qualità di titolare del trattamento, deve verificare la sussistenza di un idoneo presupposto di liceità prima di effettuare trattamenti di dati personali dei lavoratori attraverso programmi e servizi informatici di gestione della posta elettronica. Nel contesto lavorativo, tale presupposto di liceità si rinviene nell’art. 4 dello Statuto dei Lavoratori, richiamato dagli artt. 113 e 114 del Codice Privacy in attuazione dell’art. 88 del GDPR, la cui violazione comporta, oltre all’applicazione di sanzioni amministrative pecuniarie, anche possibili rischi di responsabilità penale. Il datore di lavoro, oltre a dover rispettare i principi generali del trattamento (liceità, correttezza, limitazione delle finalità, minimizzazione, esattezza, limitazione della conservazione, integrità e riservatezza, accountability), dovrà attuare tutti gli adempimenti legali di trasparenza previsti dal GDPR (quali, ad esempio, gli obblighi di tipo informativo ai sensi dell’art. 13 del GDPR e la predisposizione di registro del trattamento, da mantenere aggiornato, ai sensi dell’art. 30 del GDPR). Ciò, in particolare, al fine di fornire ai dipendenti una rappresentazione corretta, chiara ed esaustiva del complessivo trattamento di dati personali effettuato nell’ambito del contesto lavorativo, consentendo agli stessi di disporre di tutti gli le informazioni essenziali previste dalla normativa e di essere pienamente consapevoli, prima che il trattamento abbia inizio, delle caratteristiche dello stesso e dei diritti loro spettanti . Il principio di accountability, previsto dagli artt. 5(2) e 24 del GDPR, prevede espressamente in capo al titolare il compito di valutare se i trattamenti che si intende realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, rendendo conseguentemente necessaria una preventiva valutazione di impatto sulla protezione dei dati personali (“DPIA”). Tale necessità ricorre, in particolare, nel caso di raccolta e memorizzazione dei metadati relativi all’impiego della posta elettronica, stante la particolare “vulnerabilità” degli interessati nel contesto lavorativo, nonché il rischio di “monitoraggio sistematico”, inteso come trattamento posto in essere per osservare, monitorare o controllare gli interessati, avente ad oggetto (inter alia) i dati raccolti tramite reti (Working Party Art. 29, “Linee guida concernenti la valutazione di impatto sulla protezione dei dati” (WP 248) del 4.04.2017). Alla luce delle disposizioni richiamate, il Garante precisa che l’attività di raccolta e conservazione dei soli c.d. metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, non può essere superiore di norma a poche ore o ad alcuni giorni, in ogni caso non oltre 7 giorni, estendibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore. Diversamente, la generalizzata raccolta e la conservazione di tali metadati, per un lasso di tempo più esteso (anche laddove si basi su una finalità organizzativa, produttiva, di sicurezza del lavoro o di tutela del patrimonio aziendale), potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede la presenza delle garanzie previste dall’art. 4 dello Statuto dei Lavoratori, ossia la sottoscrizione di un accordo sindacale o l’ottenimento di un’autorizzazione dell’Ispettorato del lavoro. Il Garante, dunque, invita i datori di lavoro, in qualità di titolari del trattamento, a scegliere soluzioni che consentano di modificare le impostazioni predefinite, evitando la raccolta di dati non necessari e per periodi di tempi eccessivi.
