L’Autorità ha stabilito che il periodo di conservazione dei metadati degli account dei servizi di posta elettronica nel contesto lavorativo, sia pubblico, sia privato, deve essere fissato in 7 giorni, estensibili di 48 ore per comprovate esigenze
In data 22 febbraio 2024, con provvedimento n. 127 (doc. web. 9987885), l’Autorità Garante per la Protezione dei dati personali ha deliberato la consultazione pubblica sulla congruità del termine di conservazione dei metadati degli account dei servizi di posta elettronica dei lavoratori. Tutti i soggetti interessati, inclusi i datori di lavoro pubblici e privati, nonché gli esperti del settore della privacy, potranno far pervenire le proprie osservazioni, i commenti, le informazioni, le proposte e tutti gli elementi ritenuti utili all’indirizzo del Garante di Piazza Venezia n. 11, 00187 – Roma oppure ai seguenti indirizzi di posta elettronica: protocollo@gpdp.it oppure protocollo@pec.gpdp.it.
Tale consultazione, che resterà aperta per un periodo di 30 giorni dalla pubblicazione in Gazzetta Ufficiale, si è resa necessaria a seguito delle innumerevoli richieste di chiarimenti ricevute dall’Autorità all’indomani dell’adozione del documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (provv. del 21 dicembre 2023, n. 642, doc. web n. 9978728).
Il documento di indirizzo
L’Autorità ha stabilito che il periodo di conservazione dei metadati degli account dei servizi di posta elettronica nel contesto lavorativo deve essere fissato in 7 giorni, estensibili di 48 ore per comprovate esigenze. Oggetto di tale provvedimento sono i «metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica e relative operazioni di invio, ricezione e smistamento dei messaggi di posta elettronica (che possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei computer coinvolti nell’instradamento del messaggio, gli orari di invio, ritrasmissione e ricezione, la dimensione del messaggio, la presenza e la dimensione degli eventuali allegati, in certi casi anche l’oggetto del messaggio spedito o ricevuto». Nell’ambito di accertamenti condotti dal Garante con riguardo ai trattamenti di dati personali effettuati nel contesto lavorativo è, invero, emerso il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere, per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti, conservando gli stessi per un esteso arco temporale. Si è, inoltre, rilevato che tali programmi e servizi rendono non agevole, da parte del datore di lavoro, la possibilità di modificare le relative impostazioni di base al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi. Il contenuto dei messaggi di posta elettronica, oltre ai dati esteriori e i file allegati, sono tutelati dalla Costituzione, sotto il profilo della garanzia di segretezza (artt. 2 e 15 Cost.), e l’impiego, nel contesto lavorativo, di programmi e servizi informatici, attraverso i quali sono smistati, inviati e ricevuti tali messaggi realizzano un trattamento di dati personali dei lavoratori stessi. Tali programmi e servizi rientrano nella nozione di “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”, prevista dal comma 2 dell’art. 4 dello Statuto dei Lavoratori (L. 300/1970, St. Lav.), sui cd. impianti audiovisivi e altri strumenti di controllo, e per il cui lecito utilizzo non è necessario un previo accordo sindacale o una previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro.
Tali garanzie, tuttavia, in mancanza delle quali scatterebbe la responsabilità penale per violazione del citato art. 4 St. Lav., dovrebbero essere applicate in presenza di un rischio di “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti”, rischio che si concretizzerebbe con la generalizzata raccolta e la conservazione dei metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica di tali metadati, per un lasso di tempo superiore a sette giorni (estensibili di 48 ore, per comprovate esigenze), ancorché sul presupposto della sua necessità per finalità di sicurezza informatica e tutela dell’integrità del patrimonio, anche informativo, del datore di lavoro, potendo appunto comportare un indiretto controllo a distanza dell’attività dei lavoratori.
Il Garante Privacy ribadisce la congruità del sopra citato termine di conservazione, richiamando propri precedenti provvedimenti (il più recente è quello del 9 settembre 2021, n. 353, doc. web n. 9719914). L’Autorità, pertanto, ha stabilito che per rispettare la normativa in materia di privacy e di tutela del lavoratore, i datori di lavoro, pubblici e privati, dovranno osservare il citato termine di ritenzione, verificando che gli strumenti di gestione della posta elettronica in uso ai dipendenti, in particolare di tipo cloud, consentano loro di modificare a tal fine le impostazioni di base. Diversamente, i datori di lavoro dovranno alternativamente, nel caso in cui i trattamenti di dati personali in questione si dovessero comunque rendere necessari per il perseguimento di esigenze organizzative o produttive, attivare le procedure di garanzia previste dall’art. 4, co. I, St. Lav. cit. oppure cessare l’utilizzo di tali servizi e programmi informatici. In ogni caso, deve essere assicurata la necessaria trasparenza nei confronti dei lavoratori, fornendo a questi ultimi una specifica informativa sul trattamento dei dati personali prima di dare inizio al trattamento.