Interveniamo sul recente provvedimento del Garante per la Protezione dei Dati Personali suggerendo (al termine di questo articolo) alcune precauzioni che dovranno essere adottate dal titolare del trattamento dei dati.
Con Provvedimento n. 9978728 del 21 dicembre 2023 il Garante per la Protezione dei Dati Personali ha adottato un documento di indirizzo intitolato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”.
Il documento è frutto della recente attività di controllo dell’Autorità Garante che ha verificato criticità, nel contesto lavorativo, legate all’uso di programmi e servizi informatici per la gestione della posta elettronica.
Già da tempo il Garante è intervenuto sul tema, ritenendo fondamentale garantire la segretezza delle comunicazioni – tutelate costituzionalmente ex artt. 2 e 15 Cost. – con l’emanazione delle “Linee guida del Garante per posta elettronica e Internet” del 1° marzo 2007, n. 13, doc. web n. 1387522 e con l’adozione, tra i tanti, del Provvedimento 4 dicembre 2019, n. 216, doc. web n. 9215890.
Non vi è dubbio, infatti, che l’utilizzo di servizi e programmi di posta elettronica comporti un trattamento di dati personali.
Pertanto, come sappiamo, il datore di lavoro, in qualità di titolare del trattamento, al fine di garantire i diritti dei suoi dipendenti e di tutti gli interessati coinvolti, sarà obbligato a:
- Verificare la sussistenza di un idoneo presupposto di liceità ex art. 6 del Regolamento 2016/679 UE (di seguito anche “Regolamento”);
- Rispettare le condizioni per il lecito impiego di strumenti tecnologici nel contesto lavorativo (art. 88, par. 2, del Regolamento);
- Verificare la sussistenza dei presupposti di liceità stabiliti dall’art. 4 della l. 20 maggio 1970, n. 300, cui fa rinvio l’art. 114 del Codice della privacy (D.lgs. 30 giugno 2003, n. 196 e successive modifiche e integrazioni), nonché il rispetto delle diposizioni che vietano al datore di lavoro di acquisire e comunque trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata (art. 8 della l. 20 maggio 1970, n. 300 e art. 10 d.lgs. 10 settembre 2003, n. 276);
- Rispettare i principi generali del trattamento (artt. 5, 24 e 25 del Regolamento) e porre in essere tutti gli adempimenti previsti dalle disposizioni normative in materia di protezione dei dati personali (v. artt. 12, 13, 14, 30, 32 e 35 del Regolamento), anche con riguardo alla necessità di fornire agli interessati in modo corretto e trasparente una chiara rappresentazione del complessivo trattamento effettuato;
- Valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali (cfr. cons. 90 e artt. 35 e 36 del Regolamento). Sulla base delle indicazioni fornite anche a livello europeo, tale necessità ricorre, in particolare, in caso di raccolta e memorizzazione dei metadati relativi all’impiego della posta elettronica, stante la particolare vulnerabilità degli interessati nel contesto lavorativo, nonché il rischio di “monitoraggio sistematico” (Gruppo di lavoro art. 29, “Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679”, WP 248 del 4 aprile 2017; cfr. cons. 75 e artt. 35 e 88, par. 2, del Regolamento; v. anche provv. 11 ottobre 2018, n. 467, doc. web n. 9058979, all. n. 1; v., tra gli altri, provv. 13 maggio 2021, n. 190, doc. web n. 9669974, par. 3.5).
Ma l’utilizzo dei servizi di posta elettronica impone, altresì, particolari tutele anche in materia di controlli a distanza dei lavoratori.
La vigente disciplina (art. 4, comma 1, l. 20 maggio 1970, n. 300, come modificato dal d.lgs. 14 settembre 2015, n. 151) individua tassativamente le finalità (organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale) per le quali gli strumenti dai quali derivi la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati nel contesto lavorativo, stabilendo precise garanzie procedurali (accordo sindacale o autorizzazione pubblica).
Le predette garanzie non trovano applicazione relativamente “agli strumenti di registrazione degli accessi e delle presenze”, così come “agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” (art. 4, comma 2, L. n. 300/1970).
Da tutto ciò discende che, come già più volte ribadito dal Garante, relativamente al funzionamento delle infrastrutture del sistema della posta elettronica, viene ritenuta conforme all’eccezione prevista dall’ art. 4, comma 2, L. n. 300/1970 solamente l’attività di raccolta e conservazione dei soli c.d. metadati necessari ad assicurare il funzionamento per un tempo che, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione, non può essere superiore a sette giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore (v. provv.ti nn. 303 del 13 luglio 2016, doc. web n. 5408460; 1° febbraio 2018, n. 53, doc. web n. 8159221; 29 ottobre 2020, n. 214, doc. web n. 9518890; 29 settembre 2021, n. 353, doc. web n. 9719914).
Viceversa, la generalizzata raccolta e la conservazione dei metadati per un lasso di tempo più esteso, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiederebbe l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta L. n. 300/1970 (v., da ultimo, provv. 1° dicembre 2022, n. 409, doc. web n. 9833530).
Alla luce del recente Provvedimento del 21 dicembre 2023 del Garante per la Protezione dei Dati Personali – con il quale viene adottato il documento di indirizzo intitolato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” – il datore di lavoro dovrà svolgere alcuni adempimenti per garantire il rispetto della normativa sulla protezione dei dati personali e della disciplina di settore in materia di controlli a distanza.
Indichiamo, sinteticamente, quali misure dovrebbero essere adottate:
- Verifiche sui programmi e servizi informatici di gestione della posta elettronica Preliminarmente, si rende necessario verificare che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service – consentano al cliente/datore di lavoro di modificare le impostazioni di base, impedendo la raccolta di metadati non necessari o limitandone il periodo di conservazione;
- Definire i termini di conservazione dei metadati La conservazione dei metadati dovrà essere svolta secondo i seguenti parametri:
- l’attività di raccolta e conservazione dei soli c.d. metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica non potrà essere superiore, di norma, a poche ore o ad alcuni giorni e, in ogni caso, non dovrà superare i sette giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore;
- qualora il datore di lavoro abbia l’esigenza di estendere il termine per finalità di sicurezza informatica e tutela dell’integrità del patrimonio, anche informativo – trattandosi di pratiche che potrebbe comportare un indiretto controllo a distanza dell’attività dei lavoratori – sarà necessario rispettare le garanzie previste dall’art. 4, comma 1, della L. n. 300/1970 (Statuto dei Lavoratori). Nelle more dell’eventuale espletamento delle procedure di garanzia, i predetti metadati non potranno, comunque, essere utilizzati;
- Informativa ex art. 13 Regolamento 2016/679 UE Dovrà essere assicurata la massima trasparenza nei confronti dei lavoratori, fornendo una specifica informativa sul trattamento dei dati personali prima di dare inizio al trattamento (cfr. art. 5, par. 1, lett. a), 12 e 13 del Regolamento). Ciò anche tenuto conto del fatto che l’adempimento degli obblighi informativi nei confronti dei dipendenti (consistenti nella “adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli”) costituisce anche una specifica precondizione per il lecito utilizzo dei dati raccolti attraverso strumenti tecnologici, da parte del datore di lavoro, anche a tutti i fini connessi al rapporto di lavoro (art. 4, comma 3, della L. n. 300/1970).
Esistono, infine, due misure indicate dedicate, nello specifico, alle Pubbliche Amministrazioni:
- Utilizzo di piattaforme per acquisto di beni o servizi L’applicazione del documento di indirizzo è estesa, in ambito pubblico, ai programmi e ai servizi informatici acquistati mediante convenzioni/piattaforme che le pubbliche amministrazioni devono o possono utilizzare per l’acquisto di beni e servizi;
- Utilizzo di servizi basati sul cloud nel settore pubblico Con riferimento all’utilizzo di servizi basati sul cloud, il Garante richiama nuovamente quanto indicato nel report “2022 Coordinated Enforcement Action Use of cloud-based services by the public sector” del Comitato europeo per la protezione dei dati (adottato il 17 gennaio 2023). Il documento reca indicazioni sulle misure tecniche e organizzative necessarie ad assicurare il rispetto del Regolamento in tale contesto, garantendo, in particolare, che i fornitori dei servizi cloud trattino i dati personali solo per conto dei rispettivi titolari e sulla base delle istruzioni da questi ricevute.
Il documento integrale è scaricabile alla seguente pagina:
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9978728
di Avv. Beatrice Carbonetto, 13/02/2024
Gesta Srl Società Benefit 0187 564442 – gesta@gestaconsulenza.it