Email dei dipendenti: il Garante vara il Documento sulla conservazione dei dati

Il Garante per la protezione dei dati personali, con la nota del 6 febbraio 2024, ha illustrato il documento “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento di metadati”, adottato il 21 dicembre 2023 e rivolto ai datori di lavoro pubblici e privati.

Il Documento nasce a seguito di accertamenti effettuati dal Garante dai quali è emerso che:

• alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo tale da raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo dell’account di posta da parte dei dipendenti (quali ad esempio giorno, ora, mittente, destinatario, oggetto e dimensioni della e-mail) e
• in alcuni casi i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica e ridurre il periodo di conservazione.

In sostanza, il Garante invita i datori di lavoro a verificare che i programmi e i servizi informatici di gestione della posta elettronica utilizzata dai dipendenti consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione ad un massimo di 7 giorni, estensibile, in presenza di comprovate esigenze, di ulteriori 48 ore. Periodo considerato congruo, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore. 

Sul punto il Garante invita i produttori dei servizi e delle applicazioni, in fase di sviluppo e progettazione dei predetti programmi e servizi, “a tenere conto del diritto alla protezione dei dati tenuto conto dello stato dell’arte”.

Precisa poi il Garante che i datori di lavoro - qualora avessero necessità di trattare i metadati per un periodo di tempo più esteso, per esigenze organizzative e produttive o di tutela del patrimonio anche informativo - dovranno espletare le procedure di garanzia di cui all’art. 4 dello Statuto dei lavoratori (accordo sindacale o, in difetto, autorizzazione amministrativa). Ciò in quanto l’estensione del periodo di conservazione oltre il termine sopra citato può comportare un indiretto controllo a distanza dell’attività del lavoratore. Resta inteso che, nelle more dell’eventuale espletamento della procedura di garanzia, i predetti metadati non potrebbero essere utilizzati.

In ogni caso, il Garante raccomanda la necessaria trasparenza nei confronti dei lavoratori, fornendo loro una specifica informativa ex artt. 13 del Regolamento (UE) 2016/679 in materia di protezione dei dati prima di dare inizio al trattamento. Ciò, sul presupposto che “l’adempimento degli obblighi informativi nei confronti dei dipendenti (…) costituisce anche una specifica precondizione per il lecito utilizzo dei dati raccolti attraverso gli strumenti tecnologici, da parte del datore di lavoro, anche a tutti i fini connessi al rapporto di lavoro”.

Il Garante invoca anche il principio di “responsabilizzazione” di cui al Regolamento secondo il quale “spetta al titolare valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche - in ragione delle tecnologie impiegate e considerata la natura, l'oggetto, il contesto e le finalità perseguite - che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali”.

Anche tenuto conto delle indicazioni fornite a livello europeo sul punto, tale necessità ricorre, in particolare, in caso di raccolta e memorizzazione dei metadati relativi all’impiego della posta elettronica, stante la particolare “vulnerabilità” degli interessati nel contesto lavorativo nonché il rischio di “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti”.