Il Garante definisce nuove tutele per la gestione delle e-mail dei lavoratori
Nota a Garante per la protezione dei dati personali 21 dicembre 2023, n. 642
Fabrizio Girolami
I programmi e servizi informatici utilizzati dai datori di lavoro per la gestione della posta elettronica aziendale e forniti da soggetti terzi in modalità “cloud” o “as-a-service” possono configurare un “trattamento dei dati personali”, con conseguente necessità di applicare le garanzie e le procedure previste dall’ordinamento.
Come noto, la posta elettronica in “cloud” è un servizio in cui il datore di lavoro esternalizza la gestione delle e-mail su un server web (“dematerializzato” e non localizzato in un server fisico). Viceversa, la posta elettronica “as-a-service” è un servizio di gestione delle e-mail erogato da un fornitore “via web” in cui il cliente (datore di lavoro) ha accesso a un’interfaccia di utilizzo, senza necessità di alcun download applicativo o installazione.
Il Garante per la privacy – con il provvedimento n. 642 del 21.12.2023, pubblicato sulla newsletter n. 517 del 6.02.2024 – ha adottato un documento di indirizzo, denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, rivolto ai datori di lavoro (pubblici e privati) contenente le regole da seguire per la gestione della posta elettronica di dipendenti e collaboratori, utili a prevenire trattamenti di dati in contrasto con la disciplina sulla protezione dei dati personali e con le norme che tutelano la libertà e la dignità dei lavoratori.
Il provvedimento è stato emanato a seguito di accertamenti effettuati dal Garante dai quali è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica sono configurati in modo da raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta dei dipendenti (ad es., giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail). In alcuni casi è emerso anche che i sistemi non consentono ai datori di modificare le impostazioni di base del programma informatico al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi.
Il Garante ha evidenziato che il contenuto dei messaggi di posta (come pure i dati esteriori delle comunicazioni e i file allegati) “riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente (artt. 2 e 15 Cost.)”. Ciò comporta che, anche nel contesto lavorativo, sussiste “una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza”.
Con il documento in esame il Garante:
- ha raccomandato ai produttori di software e fornitori di servizi affinché, in fase di sviluppo e progettazione, tengano conto della predisposizione di idonee misure necessarie ad assicurare il rispetto della privacy;
- ha prescritto ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti “in cloud” o “as-a-service”) consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione a un massimo di 7 giorni (estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore). Tale periodo è congruo, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta in uso al lavoratore. Laddove i datori, per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare (in particolare, ad esempio, per specifiche esigenze di sicurezza dei sistemi), avessero necessità di trattare i metadati per un periodo di tempo più esteso, dovranno espletare le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’Ispettorato del lavoro). L’estensione del periodo di conservazione oltre tale arco temporale può, infatti, comportare un indiretto controllo a distanza dell’attività del lavoratore.
Il Garante ha differito l’efficacia di tale documento di indirizzo all’adozione, al termine di una consultazione pubblica finalizzata ad acquisire pareri di esperti e di operatori, di nuove misure (o in caso di mancata adozione di nuovi atti fino a 60 gg. Successivi alla fine della consultazione).