La posta elettronica costituisce una forma di corrispondenza tutelata dalla Costituzione.
Nota a Garante per la protezione dei dati personali, ordinanza ingiunzione nei confronti della Regione Lazio n. 409 del 1° dicembre 2022
Fabrizio Girolami
È illecito il trattamento di dati personali effettuato dal datore di lavoro pubblico, consistente nella generalizzata raccolta, conservazione per un arco temporale di 180 giorni ed estrazione/verifica, di metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti, in quanto tale trattamento lede il diritto alla riservatezza tutelato dalla normativa (europea e interna) in materia di protezione dei dati personali, nonché l’art. 4 dello Statuto dei lavoratori che limita i controlli a distanza dei lavoratori.
Il principio è stato affermato dal Garante per la protezione dei dati personali (di seguito, anche solo “Garante”) con l’ordinanza ingiunzione nei confronti della Regione Lazio n. 409 del 1° dicembre 2022, sanzionando l’Amministrazione al pagamento di una sanzione amministrativa pecuniaria di Euro 100.000 e vietando ogni ulteriore operazione di trattamento dei metadati relativi all’utilizzo della posta elettronica dei lavoratori e disposto la cancellazione di quelli illecitamente raccolti.
Nel caso di specie, un sindacato, con apposita segnalazione presentata al Garante, aveva lamentato l’effettuazione di un massivo e indiscriminato controllo, da parte della Regione Lazio, sulle caselle di posta elettronica istituzionale assegnate al personale in servizio presso gli uffici dell’avvocatura regionale. Detto monitoraggio aveva riguardato i metadati relativi all’utilizzo delle e-mail degli avvocati regionali (giorno, ora, mittente, destinatario, oggetto, peso degli allegati acclusi).
La Regione Lazio aveva effettuato i controlli (avvalendosi della società LAZIOCrea S.p.A.) allo scopo di verificare eventuali condotte illecite, da parte di proprio personale in servizio presso gli uffici dell’avvocatura regionale, concernenti la presunta rivelazione a soggetti terzi di notizie d’ufficio che avrebbero dovuto rimanere segrete. La Regione aveva, altresì, esposto che le operazioni di analisi ed estrazione erano state possibili in quanto i metadati relativi all’utilizzo della posta elettronica venivano raccolti in modo preventivo e generalizzato e successivamente conservati per 180 giorni.
Il Garante, all’esito dell’attività istruttoria, ha emanato l’ordinanza di ingiunzione nei confronti della Regione Lazio, evidenziando, tra l’altro, quanto segue:
- il trattamento di dati personali operato dalla Regione – consistito nella sistematica raccolta dei metadati relativi all’utilizzo delle e-mail dei dipendenti, nella loro conservazione per un tempo maggiore di 7 giorni (nel caso di specie, ben 180 giorni) e nella loro estrazione, elaborazione e verifica – viola i seguenti principi di base in materia di protezione dei dati: a) “liceità, correttezza e trasparenza”, “limitazione della conservazione” e “responsabilizzazione” (artt. 5, par. 1, lett. a), e), e par. 2, Regolamento UE 2016/679); b) “protezione dei dati fin dalla progettazione e per impostazione predefinita” e di “valutazione d’impatto sulla protezione dei dati” (artt. 25 e 35, del medesimo Regolamento);
- i metadati delle e-mail dei dipendenti (contenuto dei messaggi; dati esteriori delle comunicazioni; file allegati) riguardano “forme di corrispondenza” assistite da garanzie di segretezza tutelate anche dalla Costituzione (artt. 2 e 15), che proteggono il nucleo essenziale della dignità della persona e il pieno sviluppo della sua personalità nelle formazioni sociali. Pertanto, anche nel contesto lavorativo, sussiste una “legittima aspettativa di riservatezza” dei lavoratori in relazione ai messaggi oggetto di corrispondenza;
- sotto questo aspetto, il trattamento dei dati effettuato dalla Regione è stato effettuato in assenza di una “base giuridica” e in maniera difforme dalla disciplina di settore in materia di controlli a distanza dei lavoratori (art. 4, Stat. Lav.);
- come noto, l’art. 4, co. 1, Stat. Lav. prevede che “gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale” e possono essere “installati” previo accordo sindacale, o, in alternativa, previa autorizzazione pubblica. Il successivo art. 4, co. 2, Stat. Lav. dispone che gli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” e “gli strumenti di registrazione degli accessi e delle presenze” non soggiacciono ai limiti e alle garanzie di cui all’art. 4, co. 1, Stat. Lav., in quanto detti strumenti, come rilevato dal Garante, sono “funzionali a consentire l’assolvimento degli obblighi che discendono direttamente dal contratto di lavoro, vale a dire, la presenza in servizio e l’esecuzione della prestazione lavorativa”;
- nel caso di specie, la generalizzata raccolta e la conservazione, per un periodo esteso, dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti non possono essere ricondotte all’ambito di applicazione dell’art. 4, co. 2, Stat. Lav. (come ritenuto dalla Regione Lazio), ma rientrano tra gli “strumenti funzionali alla tutela dell’integrità del patrimonio informativo” del titolare del trattamento, di cui all’art. 4, co. 1, Stat. Lav. Pertanto, anche tali trattamenti rientrano tra i controlli a distanza che richiedono il preventivo accordo sindacale o l’autorizzazione amministrativa;
- non avendo la Regione posto in essere le procedure di garanzia di cui all’art. 4, co. 1, Stat. Lav., prima di dare avvio alla preventiva e sistematica raccolta dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti, e alla conservazione degli stessi per un ampio arco temporale, il trattamento in questione risulta essere in contrasto non soltanto con la normativa in materia di protezione dei dati personali, ma anche con la disciplina di settore in materia di controlli a distanza.