Lo scorso agosto, la CNA nazionale ha partecipato a un incontro con il Garante per la Protezione dei Dati Personali, l’autorità nazionale istituita ai fini del controllo sulla privacy.
Nell’incontro sono stati affrontati alcuni temi di alto interesse per le imprese, relativi al provvedimento del 6 giugno scorso denominato “Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”.
Il Garante ha precisato che questo documento di indirizzo è motivato dal rischio che programmi e servizi informatici per la gestione della posta elettronica possano raccogliere, per impostazione predefinita e in modo preventivo e generalizzato, i cosiddetti metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti, conservandoli anche per un esteso arco temporale con finalità non consentite.
I metadati di posta elettronica, chiamati anche log di posta elettronica, comprendono tutte le informazioni utili al buon funzionamento della posta elettronica dell’impresa. Consistono in informazioni registrate nei log dei server di gestione della posta elettronica. Possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, anche l’oggetto del messaggio spedito o ricevuto.
Se il trattamento di queste informazioni avviene nel rispetto del provvedimento citato, in sostanza si rimane nell’attività riconducibile alla prestazione lavorativa.
Si evidenzia che, nell’ultima stesura del provvedimento da parte del Garante, modificato anche in base al contributo della CNA, la durata conservativa per poter trattare questo tipo di metadati è stata estesa fino a 21 giorni, rispetto alla sua previsione iniziale di 7 giorni.
Se si rimane all’interno di questo arco temporale basterà da parte dell’impresa titolare del trattamento:
- aggiornare l’informativa data ai dipendenti, prevedendo, in particolare, la finalità, il periodo di data retention e la base giuridica;
- integrare il registro delle attività di trattamento con specifica voce riferita ai metadati.
L’Authority ha sottolineato che la base giuridica richiamabile dall’impresa titolare non può essere l’interesse legittimo, né la tutela di un diritto in sede giudiziaria. Quindi, dal momento che non può essere acquisito un consenso dal lavoratore, considerato parte debole del rapporto di lavoro, come base giuridica si ipotizza una formula del tipo: “La possibilità di trattare i metadati, nell’ambito del rapporto di lavoro, è data dal rispetto delle indicazioni contenute nel provvedimento del Garante per la protezione dei dati personali n. 364 del 6 giugno 2024 e degli artt.113 e 114 del codice della privacy vigente”.
Come finalità, invece, si dovrà prevedere “la sicurezza informatica e la tutela del patrimonio informatico”.
Se il trattamento va oltre i 21 giorni, per peculiari necessità che si dovranno poter dimostrare, stando anche sempre attenti che i tempi di conservazione non vengano definiti in maniera sproporzionata rispetto alle finalità del trattamento, il Garante consiglia la redazione di un documento (DPIA o qualcosa di molto simile) nel quale vengano evidenziate tutte le misure messe in campo per limitare la pericolosità per i diritti e le libertà fondamentali dei lavoratori (accesso selettivo ai metadati ai soli soggetti autorizzati ed istruiti e tracciatura degli stessi).
Qualora, invece, si ipotizzino da parte delle imprese trattamenti peculiari per la conservazione dei metadati che non siano ancora identificati dal Garante, in presenza dei quali si possa ritenere che la conservazione dei dati avvenga per finalità diverse dal semplice funzionamento del sistema di posta elettronica, l’Authority ha indicato il rientro nell’ipotesi prevista dal comma 1 articolo 4 della legge n. 300/1970, lo Statuto dei Lavoratori.
Ciò significa che, in questa specifica ipotesi, non essendo possibile considerare il trattamento della posta elettronica come semplice strumento di lavoro, e potendo dallo stesso derivare anche un controllo a distanza dei lavoratori, è necessario seguire le procedure autorizzatorie di cui all’articolo 4 comma 1 dello Statuto dei Lavoratori, ovvero il raggiungimento di un accordo sindacale o la presentazione di un’istanza autorizzatoria all’ispettorato Nazionale del Lavoro. L’Authority, a tal fine, sta avviando una serie di contatti con l’INL per cercare di sburocratizzare le richieste per le imprese.
Oltre a ciò, in questa ipotesi, da un punto di vista degli adempimenti privacy, il Garante ha previsto comunque come obbligatoria la redazione di un documento (DPIA o simile) nel quale vengano esplicitati i motivi del trattamento ed evidenziate tutte le misure messe in campo per limitare la pericolosità per i diritti e le libertà fondamentali dei lavoratori (ad esempio l’accesso selettivo ai metadati ai soli soggetti autorizzati ed istruiti e la tracciatura degli stessi).
Il Garante ha infine concluso l’incontro, riferendosi ai player nazionali e internazionali che commercializzano servizi di gestione di posta elettronica. Ha ribadito che, se questi player possono conservare i metadati dei dipendenti delle imprese, anche per obblighi di legge (reati informatici e lotta alla pedopornografia), e se questi metadati non vengono messi a disposizione delle imprese in questione, in tal caso per le imprese non si deve applicare il provvedimento del Garante sui metadati. Quando invece i metadati vengono messi a disposizione delle imprese, quest’ultime, se non hanno particolari esigenze tecniche di conservazione che li giustifichino, possono sempre evidenziare la volontà di rinunciare alla loro acquisizione, contattando direttamente il player di riferimento e formulando ad esso la richiesta. Qualora il player non desse seguito a questa richiesta, l’impresa potrà comunque conservarne l’istanza, che il Garante potrebbe interpretare come strumento di accountability.
Invitiamo dunque le imprese a verificare che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti rispettino la normativa vigente, anche con riferimento al periodo di 21 giorni di conservazione dei metadati.