Il presente contributo si sofferma sul Provvedimento del Garante Privacy sulla raccolta generalizzata e la conservazione dei metadati delle e-mail aziendali da parte del datore di lavoro.
Con Provvedimento del Garante per la Protezione dei Dati personali (GPDP) emesso il 21 dicembre 2023 ma pubblicato solo il 6 febbraio u.s., sono introdotte stringenti direttive inerenti alla gestione delle attività di posta elettronica mediante servizi forniti da aziende terze in modalità cloud.
In particolare il provvedimento si concentra sul rischio che “programmi e servizi informatici per la gestione della posta elettronica aziendale, commercializzati da fornitori in modalità cloud, possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad esempio giorno, ora, mittente, destinatario, oggetto e dimensione delle e-mail), conservando gli stessi per un esteso arco temporale”.
Al fine di prevenire detto rischio il Garante ha disposto che – nell’ambito dello svolgimento di attività aziendali che richiedano ai dipendenti un impiego diffuso di posta elettronica – la raccolta generalizzata e la conservazione dei metadati delle e-mail aziendali (che contengono le descritte informazioni) da parte del datore di lavoro “non può essere superiore di norma a poche ore o ad alcuni giorni, in ogni caso non oltre 7 giorni , estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore.
Fino ad oggi è generalmente condiviso l’assunto in base al quale l’utilizzo della posta elettronica aziendale da parte dei dipendenti per ragioni di servizio deve essere considerato alla stregua di un utilizzo di strumento di lavoro funzionale all’espletamento dell’attività affidata ai medesimi. Si pensi ad esempio alle centinaia di e-mail che vengono inviate e ricevute dai dipendenti di un’azienda per l’espletamento di funzioni commerciali, o per lo svolgimento delle attività di acquisto, procurement o di marketing. Rientrando nell’ambito dell’utilizzo di strumento di lavoro, tali attività sono disciplinate dall’art. 4 comma 2 dello Statuto dei lavoratori, cosicché il datore di lavoro non deve attenersi alle prescrizioni di cui all’ art. 4 comma 1 dello Statuto. Come noto, tale norma impone il preventivo perfezionamento di un accordo con le associazioni sindacali o, in difetto, l’autorizzazione dell’Ispettorato Nazionale del Lavoro al fine di poter impiegare strumenti dai quali possa derivare la possibilità di controllo dell’attività.
A fronte del nuovo provvedimento, l’Autorità garante ha ritenuto che, anche nell’ambito dello svolgimento delle illustrate attività, la raccolta generalizzata e la conservazione da parte aziendale dei metadati della posta elettronica aziendale ( ove, come detto, sono presenti giorno, ora, mittente, destinatario, oggetto e dimensione delle e-mail) può comportare un indiretto controllo a distanza dei lavoratori. Ne consegue che, qualora il datore di lavoro intenda conservare i medesimi per un tempo superiore a quello sopra riportato, dovrà ottenere la preventiva autorizzazione con accordo sindacale o provvedimento dell’Ispettorato, fornendo inoltre adeguata informativa ai dipendenti, facendo applicazione del citato art. 4 comma 1 della legge n. 300/1970.
La portata del provvedimento di indirizzo è di notevole impatto per le aziende, anche in considerazione delle conseguenze che possono derivare dalla non osservanza delle medesime e, quindi, dal mancato espletamento delle procedure di accordo sindacale o di autorizzazione, nonché di informativa.
In tali casi la condotta potrà essere qualificata come illecito trattamento dei dati, violazione delle disposizioni che limitano la conservazione dei dati, nonché di quelle che impongono il rispetto dei principi della protezione dei dati fin dalla progettazione del trattamento e per l’impostazione predefinita, con applicazione delle relative sanzioni.
Si segnala, peraltro, che il GPDP ha espressamente invitato gli stessi produttori di servizi e relative applicazioni a tenere conto, in fase di progettazione e sviluppo delle stesse, delle prescrizioni correlate alla protezione dei dati tenuto conto dello stato dell’arte.
In conclusione, alla luce del nuovo provvedimento è necessario che le aziende effettuino un’attività di analisi finalizzata a verificare – anche in relazione alle diverse tipologie di corrispondenza a mezzo posta elettronica – le necessità inerenti i tempi conservazione dei metadati delle e-mail dei dipendenti posizionate su Cloud esterni; posto che i medesimi debbono risultare leciti, proporzionati coerenti rispetto alle finalità del trattamento, ponendo poi in essere le procedure di adeguamento ove necessarie.