I datori di lavoro pubblici e privati che forniscono programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti devono verificare la raccolta dei metadati e limitare il loro periodo di conservazione a un massimo di 7 giorni estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore. Ove fosse necessario trattare i metadati per un periodo di tempo più esteso, dovranno essere espletate le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’Ispettorato Territoriale del Lavoro), in quanto tali attività potrebbero integrare un indiretto controllo a distanza dell’attività del lavoratore e dovranno essere adottate alcune misure previste dalla normativa sulla protezione dei dati personali.
PREMESSA
Il Garante per la protezione dei dati personali (“Garante” o “Autorità”) ha emesso un provvedimento di indirizzo, datato 21 dicembre 2023 e denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (“Provvedimento”) (1), che si inserisce nel contesto di un orientamento dell’Autorità, oramai consolidato, sempre più rigoroso sul tema della gestione delle caselle di posta elettronica dei dipendenti (2).
Con il Provvedimento, vengono individuate le linee guida da rispettare nella gestione di programmi e servizi informatici che consentano la raccolta e la conservazione – per impostazione predefinita, in modo preventivo e generalizzato – di “metadati” (ovverosia quei dati che consentono un maggiore dettaglio della posta elettronica, tra cui il giorno, l’ora, il mittente, il destinatario, l’oggetto e la dimensione dell’e-mail) tramite l’utilizzo degli account di posta elettronica dei dipendenti.
NORMATIVA DI RIFERIMENTO
Se, da un lato, è noto che il contenuto della corrispondenza personale gode di una protezione (in termini di segretezza) innanzitutto a livello costituzionale, è indiscusso che tale riservatezza debba essere garantita anche nel contesto lavorativo. In tale contesto, il Regolamento (UE) 2016/619 (“GDPR”) prevede che il datore di lavoro verifichi la sussistenza di un idoneo presupposto di liceità prima di effettuare trattamenti di dati personali dei lavoratori e rispetti le condizioni per il lecito impiego di strumenti tecnologici nel contesto lavorativo.
Sotto un profilo strettamente giuslavoristico, l’art. 4 della L. 300/1970 (c.d. Statuto dei Lavoratori) dispone che gli strumenti che consentono – anche solo potenzialmente – un controllo a distanza dell’attività lavorativa possono essere installati solo previo accordo con le rappresentanze sindacali o, in mancanza, previa autorizzazione da parte dell’Ispettorato Territoriale del Lavoro competente.
Tale adempimento non viene richiesto con riferimento agli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” (3) e agli “strumenti di registrazione degli accessi e delle presente”.
In merito a ciò, il Garante ha previsto che le e-mail potranno (continuare a) rientrare nell’ambito degli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” (per i quali, come detto, non è richiesto alcun preventivo accordo sindacale/autorizzazione) solamente se i metadati verranno conservati per un periodo strettamente necessario ad assicurare il regolare funzionamento tecnico della posta elettronica che, secondo l’Autorità, non deve essere superiore a 7 giorni (eventualmente prorogabili di ulteriori 48 ore): invece, la conservazione per un periodo più lungo sarà legittima solo in presenza di accordo sindacale o di autorizzazione da parte dell’Ispettorato Territoriale del Lavoro.
COSA FARE ORA?
Per adeguarsi alle disposizioni previste dall’Autorità con il citato Provvedimento, i datori di lavoro dovranno adottare una serie di misure, sia sotto il profilo giuslavoristico, sia in materia di protezione dei dati personali.
Adempimenti giuslavoristici
- verificare se i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (anche in caso di prodotti forniti in cloud o as-a-service) consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione a un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore;
- ove ciò non fosse possibile o si rendesse necessaria una conservazione dei dati più lunga, espletare le sopra citate preventive procedure di garanzia contenute all’interno dello Statuto dei Lavoratori (ovverosia, sottoscrivere accordi con le rappresentanze sindacali o, in alternativa, ottenere l’autorizzazione da parte dell’Ispettorato Territoriale del Lavoro competente);
- pena il divieto di utilizzo delle informazioni raccolte “a tutti i fini connessi al rapporto di lavoro” (inclusi i fini disciplinari), informare i dipendenti sulle modalità d’uso degli strumenti e sulle modalità di effettuazione dei controlli (pertanto, sarà necessario rivedere le attuali policy sugli strumenti di lavoro o, se non presenti, redigerle).
Adempimenti data protection
- accertarsi che le funzioni e le impostazioni attive sui client delle varie caselle e-mail fornite ai propri dipendenti e collaboratori siano compatibili con le finalità del trattamento e commisurate ai tempi di conservazione dei relativi dati raccolti, integrando, se del caso, le policy aziendali sull’utilizzo degli strumenti e devices aziendali;
- integrare le informative privacy e fornirle ai dipendenti e collaboratori, in linea con le indicazioni del Provvedimento e, in particolare, dettagliando modalità di raccolta e di conservazione dei metadati afferenti le caselle e-mail;
- condurre una valutazione di impatto sulla protezione dei dati personali (“DPIA”) ai sensi dell’art. 35 del GDPR per vagliare i rischi per i diritti e libertà degli interessati (4).
POSSIBILI SANZIONI
In caso di mancato rispetto delle prescrizioni del Garante e degli adempimenti di cui sopra, i datori di lavoro possono incorrere nelle seguenti violazioni della normativa giuslavoristica e dalla normativa in materia di protezione dei dati personali (a cui conseguono le seguenti sanzioni):
OSSERVAZIONI CONCLUSIVE
Tali recenti indirizzi dell’Autorità hanno sollevato alcune critiche e non si può escludere che in futuro possano subire censure giurisprudenziali volte a definire un differente bilanciamento tra gli interessi e i diritti coinvolti. Il Provvedimento, infatti, pone indistintamente degli obblighi a tutti i datori di lavoro pubblici e privati, a prescindere dal contesto, dallo strumento utilizzato e dalla tipologia di casella di posta elettronica (ordinaria o certificata). Un’applicazione eccessivamente rigida di tali obblighi potrebbe comportare delle considerevoli restrizioni e limitazioni nell’esercizio di alcuni diritti costituzionalmente garantiti, come il diritto di difesa, nonché di legittime esigenze di tutela degli interessi di ciascuna azienda, tanto con riferimento ad attività di prevenzioni da frodi e tentativi di intrusione sui sistemi informatici da parte di terzi, che con riferimento alla conservazione di materiale probatorio eventualmente spendibile in giudizio. Per altro verso, sembra che l’Autorità consideri una casella di posta elettronica come “strumento di lavoro” ex art. 4 Statuto dei Lavoratori solo per un ristrettissimo periodo, nonostante al giorno d’oggi le e-mail, per la maggior parte dei dipendenti, costituiscono indubbiamente il principale strumento di lavoro. Pertanto, dovrà necessariamente essere trovata una soluzione dal momento che il Legislatore, nel riformare il citato art. 4 nel 2015 nell’ambito del Jobs Act, aveva espressamente escluso da ogni procedura sindacale/amministrativa gli “strumenti di lavoro” proprio per rendere più agevole l’installazione e l’utilizzo di sistemi hardware e software necessari per svolgere la prestazione lavorativa.
(1) Il Documento è reperibile qui.
(2) Ved., tra gli altri, provv. 4 dicembre 2019, n. 216, doc. web n. 9215890; 29 ottobre 2020, n. 214, doc. web n. 9518890; 29 settembre 2021, n. 353, doc. web n. 9719914.
(3) Sul punto, si segnala che l’Ispettorato Nazionale del Lavoro, dopo qualche apertura iniziale, ha assunto una posizione abbastanza rigida, dichiarando che si può fare a meno dell’autorizzazione ministeriale e dell’accordo sindacale solo se lo strumento di lavoro è “indispensabile” al dipendente per svolgere la prestazione lavorativa, nel senso che il lavoratore, se dovesse essere privato di tale strumento, sarebbe impossibilitato a svolgere le sue mansioni.
(4) criteri per l’effettuazione di una DPIA, definiti dalle Linee-guida emanate dal WP 29 concernenti la valutazione d’impatto sulla protezione dei dati adottate da ultimo il 4 ottobre 2017 e reperibili qui, ricomprendono, tra gli altri (i) trattamenti valutativi o di scoring, compresa la profilazione; (ii) monitoraggio sistematico; (iii) trattamento di dati sensibili, giudiziari o di natura estremamente personale; (iv) trattamenti di dati personali su larga scala; (v) combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolti per diverse finalità; (vi) dati relativi a soggetti vulnerabili.