Con il provvedimento n. 364 del 2024, il Garante della privacy ha richiamato l’attenzione dei datori di lavoro sulle regole per la protezione dei dati personali e le norme che stabiliscono le condizioni per l’impiego degli strumenti tecnologici nei luoghi di lavoro. Il rischio è che i programmi e i servizi informatici per la gestione della posta elettronica, possano raccogliere e conservare, per un esteso arco temporale, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti: indirizzi e-mail del mittente e del destinatario, indirizzi IP dei server e dei client coinvolti, nonché gli orari di invio e di ricezione delle e-mail. Come devono quindi operare i datori di lavoro? Quali sono gli obblighi da rispettare?

L’attenzione del legislatore sugli strumenti dai quali derivi la possibilità di controllo a distanza dei lavoratori nell’ambito delle finalità organizzative, produttive, di sicurezza del lavoro e tutela del patrimonio aziendale, ha origini nello “Statuto dei lavoratori” (art. 4, comma 1, Legge n. 300/1970). Tali garanzie non trovano però applicazione “agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze” (art. 4, comma 2, Legge n. 300/1970). Questo ha portato il Garante per la protezione dei dati personali ad emettere un documento di indirizzo, il Provvedimento n. 364 del 6 giugno 2024, che disciplina la “gestione della posta elettronica nel contesto lavorativo e il trattamento dei metadati”. Le indicazioni del Garante della privacy Il documento non introduce nuovi adempimenti a carico dei titolari del trattamento dati, ma richiama l’attenzione su alcuni punti che riguardano la disciplina della protezione dei dati personali e le norme che stabiliscono le condizioni per l’impiego degli strumenti tecnologici nei luoghi di lavoro. Il documento fornisce ai datori di lavoro alcuni criteri che lo possano orientare nelle scelte e nell’individuazione dell’eventuale periodo di conservazione dei dati in virtù dell’eccezione contenuta proprio nell’art. 4, comma 2, dello Statuto dei lavoratori: questo per assicurare il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica, comprese le essenziali garanzie di sicurezza informatica. Il documento richiama, inoltre, l’attenzione dei fornitori dei servizi di posta elettronica sulla necessità di tenere in considerazione il diritto alla protezione dei dati già in fase di progettazione dei servizi e dei prodotti. Utilizzo dei metadati Il rischio è quello che i programmi e i servizi informatici per la gestione della posta elettronica, anche in modalità cloud, possano raccogliere e conservare, per un esteso arco temporale, i “metadati” relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti. Questi dati riguardano gli indirizzi e-mail del mittente e del destinatario, gli indirizzi IP dei server e dei client coinvolti, gli orari di invio e di ricezione delle e-mail, la presenza di allegati; insomma, ogni informazione utile al datore di lavoro per l’eventuale controllo a distanza del dipendente. I “metadati” non riguardano comunque le informazioni contenute nel “corpo del messaggio”, in quanto tali informazioni rimangono sotto l’esclusivo controllo e nella disponibilità del lavoratore all’interno della casella di posta elettronica. Il contenuto dei messaggi di posta elettronica (compresi gli allegati) è tutelato dall’art. 2 e dall’art. 15 della Costituzione, che proteggono la dignità delle persone e il pieno sviluppo della loro personalità nelle formazioni sociali, anche nel contesto lavorativo, sia pubblico, sia privato. L’uso di programmi e servizi informatici dà luogo a trattamenti di dati personali in capo agli interessati ed è quindi necessario che il datore di lavoro verifichi la liceità di tali trattamenti così come stabilito dall’art. 4 dello Statuto dei lavoratori. Obblighi del datore di lavoro Al datore di lavoro è vietato acquisire e trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata. In qualità di titolare del trattamento, è tenuto a rispettare i principi generali della privacy (Regolamento UE 2016/679) e a porre in essere tutti gli adempimenti previsti dalle disposizioni normative in materia di protezione dei dati personali. Inoltre, spetta al datore di lavoro, data la particolare “vulnerabilità” degli interessati nel contesto lavorativo, valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, in ragione delle tecnologie impiegate e in particolare, in caso di raccolta e memorizzazione dei log della posta elettronica. L’attività di raccolta e conservazione dei “metadati/log” può essere effettuata per un numero di giorni non superiore a 21, in quanto se tenuto per un lasso di tempo più esteso, comporterebbe un controllo indiretto a distanza dell’attività dei lavoratori. Il datore di lavoro che volesse estendere l’arco temporale per l’attività di raccolta e conservazione, potrà farlo solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente, in applicazione del principio di “accountability” previsto dall’art. 5, par. 2, del Regolamento UE. La raccolta generalizzata dei dati relativi all’utilizzo della posta elettronica dei dipendenti e la loro conservazione, se tenuta per un esteso periodo di tempo senza idonei presupposti giuridici, comporterebbe per il datore di lavoro la possibilità di acquisire informazioni riferite alla sfera personale dell’interessato o alle sue opinioni. Questo sarebbe non rilevante ai fini della valutazione professionale del lavoratore e andrebbe in contrasto con quanto riportato nello Statuto dei lavoratori che vieta al datore di lavoro di “effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore”. I tempi di conservazione dovranno essere in ogni caso proporzionati alle legittime finalità perseguite. Il datore di lavoro deve assicurarsi che la protezione dei dati sia attuata fin dalla “progettazione del trattamento e per impostazione predefinita” verificando i programmi e i servizi informatici di gestione di posta elettronica in uso ai dipendenti e attuando le opportune misure tecniche ed organizzative, impartendo se necessario, istruzioni al fornitore del servizio (principio di “responsabilizzazione”). L’attività di raccolta e conservazione dei “metadati/log” deve avvenire nel rispetto dei principi di correttezza e trasparenza nei confronti dei lavoratori che dovranno essere “adeguatamente” informati sul trattamento dei dati personali relativi alle comunicazioni elettroniche che li riguardano e pienamente consapevoli delle complessive caratteristiche del trattamento. È responsabilità del datore di lavoro, sia sul piano amministrativo che penale, verificare che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti, gli consentano di rispettare la disciplina di protezione dei dati nei termini indicati nel provvedimento del Garante. Copyright © - Riproduzione riservata

Fonte: https://www.ipsoa.it/documents/quotidiano/2024/06/28/gestione-e-mail-dipendenti-obblighi-datore-lavoro