Recentemente è stata data pubblicità a un provvedimento del Garante per la protezione dei dati personali emesso in sensi dell’art. 57, par. 1, lett. b) e d), del Regolamento Europeo 2016/679 nonché ai sensi dell’art. 154-bis, c.1, lett. a) del D.Lgs 30 giugno 2003 n. 196. Il provvedimento è quindi emesso in attuazione dei compiti del Garante di:
- promuovere la consapevolezza e favorire la comprensione riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione al trattamento;
- adottare linee guida di indirizzo riguardanti le misure organizzative e tecniche di attuazione dei principi di protezione dei dati fin dalla progettazione e protezione per impostazione predefinita.
Il Provvedimento n. 642 del 21 dicembre 2023, sulla scorta di provvedimenti assunti nel tempo e di cui si è dato conto in precedenti articoli adotta il documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”.
Il documento è volto a fornire talune indicazioni ai datori di lavoro al fine di promuovere la consapevolezza delle scelte, nonché a prevenire iniziative e trattamenti di dati in contrasto con la disciplina in materia di protezione dei dati e le norme che tutelano la liberà e la dignità dei lavoratori.
Nel documento il Garante indica che: “la generalizzata raccolta e la conservazione dei metadati (raccolti mediante l’utilizzo di programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, che possono raccogliere, per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti, ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email, conservando gli stessi per un esteso arco temporale) per un lasso di tempo esteso – ancorché sul presupposto della sua necessità per finalità di sicurezza informatica e tutela dell’integrità del patrimonio, anche informativo, del datore di lavoro -, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta l. n. 300/1970 (v., da ultimo, provv. 1° dicembre 2022, n. 409, doc. web n. 9833530)”.
Da tale impostazione ne deriva che il Titolare del trattamento (Datore di lavoro), assodata l’esistenza del trattamento, deve verificare la sussistenza di un idoneo presupposto di liceità (cfr. artt. 5, par. 1, lett. a) e 6 del Regolamento) prima di effettuare trattamenti di dati personali dei lavoratori attraverso tali programmi e servizi, rispettando le condizioni per il lecito impiego di strumenti tecnologici nel contesto lavorativo (art. 88, par. 2, del Regolamento).
In particolare il Titolare del trattamento dovrà verificare la sussistenza dei presupposti di liceità stabiliti dall’art. 4 della l. 20 maggio 1970, n. 300.
Considerato però che le garanzie di cui all’art. 4, comma 1, l. 20 maggio 1970, n. 300, come modificato dal d.lgs. 14 settembre 2015, n. 151 non trovano applicazione “agli strumenti di registrazione degli accessi e delle presenze”, così come “agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” (art. 4, comma 2, l. n. 300/1970), il Titolare del trattamento potrà effettuare l’attività di raccolta e conservazione dei soli c.d. metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, per un tempo che, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione, non può essere superiore di norma a poche ore o ad alcuni giorni, in ogni caso non oltre sette giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore (v. provv.ti nn. 303 del 13 luglio 2016, doc. web n. 5408460; 1° febbraio 2018, n. 53, doc. web n. 8159221; 29 ottobre 2020, n. 214, doc. web n. 9518890; 29 settembre 2021, n. 353, doc. web n. 9719914).
Tale principio si basa sull’eccezione introdotta dal legislatore al comma 2 dell’art. 4, l. 20 maggio 1970, n. 300, rispetto al più restrittivo regime previsto dal comma 1, e deve, pertanto, essere oggetto di stretta interpretazione, considerate le responsabilità anche sul piano penale che possono derivare dalla violazione del predetto quadro normativo. Per scelta espressa del legislatore, quindi, solo gli strumenti preordinati, anche in ragione delle caratteristiche tecniche di configurazione, alla “registrazione degli accessi e delle presenze” e allo “svolgimento della prestazione” non soggiacciono quindi ai limiti e alle garanzie di cui al primo comma, in quanto funzionali a consentire l’assolvimento degli obblighi che discendono direttamente dal contratto di lavoro, vale a dire, la presenza in servizio e l’esecuzione della prestazione lavorativa.
L’attività di raccolta e conservazione dei soli c.d. metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica è consentita quindi per un periodo che non può essere superiore di norma a poche ore o ad alcuni giorni, in ogni caso non oltre sette giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore.
Diversamente, la generalizzata raccolta e la conservazione di tali metadati, per un lasso di tempo più esteso – ancorché sul presupposto della sua necessità per finalità di sicurezza informatica e tutela dell’integrità del patrimonio, anche informativo, del datore di lavoro -, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta l. n. 300/1970 (v., da ultimo, provv. 1° dicembre 2022, n. 409, doc. web n. 9833530).
In ragione di tanto il Titolare del trattamento dovrà:
- verificare che i programmi e servizi informatici di gestione della posta elettronica in uso consentano di modificare le impostazioni, impedendo la raccolta dei predetti metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di sette giorni, estensibile di ulteriori 48 ore;
- espletare, qualora il periodo di conservazione non possa essere limitato e i trattamenti di dati personali in questione o qualora il prolungamento fosse necessario per il perseguimento di esigenze organizzative o produttive, le richiamate procedure di garanzia previste dalla disciplina di settore (art. 4 della l. 300/1970) o cessare l’utilizzo di tali programmi e servizi informatici;
- verificare, anche avvalendosi del supporto del Responsabile della protezione dei dati, la conformità ai principi applicabili al trattamento dei dati (art. 5 del Regolamento) adottando, le opportune misure tecniche e organizzative e impartendo le necessarie istruzioni al fornitore del servizio.
In ogni caso deve essere assicurata la necessaria trasparenza nei confronti dei lavoratori, fornendo agli stessi una specifica informativa sul trattamento dei dati personali prima di dare inizio al trattamento (cfr. art. 5, par. 1, lett. a), 12 e 13 del Regolamento).
Aggiornamento del 27 febbraio 2024
Il Garante ha dato notizia dell’avvio di una consultazione pubblica sulla congruità del termine di conservazione dei metadati degli account dei servizi di posta elettronica dei lavoratori (giorno, ora, mittente, destinatario, oggetto, dimensione dell’e-mail). I contributi, così individuati, dovranno pervenire, entro 30 giorni dalla pubblicazione del avviso sulla Gazzetta Ufficiale.