Il Garante Privacy ed i metadati delle email (parte 2)

Il provvedimento

L'uso di programmi e servizi di posta elettronica è una pratica consolidata nel mondo del lavoro moderno. Tuttavia, con l'avvento delle tecnologie cloud e l'integrazione di servizi informatici avanzati, sorgono nuove preoccupazioni legate alla privacy e alla protezione dei dati personali dei dipendenti.

Il Garante per la protezione dei dati personali, con il suo provvedimento del 6 giugno 2024, ha voluto fornire un quadro chiaro e delle linee guida specifiche per gestire questi aspetti in modo conforme alle normative vigenti.

Nell’articolo precedente, abbiamo visto come funziona il sistema di posta elettronica, in questo invece, approfondiremo il provvedimento, ed il significato che questo ha per le aziende.

Metadati della posta elettronica: Cosa sono e perché sono importanti?

Negli ultimi anni, con l'avvento di tecnologie sempre più avanzate e sofisticate, molte aziende hanno adottato sistemi di gestione della posta elettronica che consentono di raccogliere e conservare una grande quantità di dati sulle comunicazioni dei dipendenti. Questi dati, comunemente noti come "metadati", includono una vasta gamma di informazioni come il mittente, il destinatario, l'oggetto del messaggio, l'orario di invio e ricezione, la dimensione del messaggio e degli allegati, e molto altro ancora. Vediamo il significato di alcuni:

• Indirizzo e-mail del mittente e del destinatario: Identifica chi ha inviato e chi ha ricevuto il messaggio.
• Indirizzi IP: Possono rivelare l'ubicazione geografica dei server e dei dispositivi coinvolti nella comunicazione.
• Orari di invio e ricezione: Indicano quando il messaggio è stato inviato e ricevuto.
• Dimensione del messaggio e degli eventuali allegati: Forniscono dettagli sulla quantità di dati trasmessi.
• Oggetto del messaggio: Può dare indicazioni sul contenuto del messaggio stesso.

La loro caratteristica è che vengono registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utilizzatore.

La raccolta e conservazione di questi metadati può servire a scopi legittimi e importanti per le aziende, come garantire la sicurezza informatica, proteggere il patrimonio aziendale da minacce interne ed esterne, o assicurare la continuità operativa in caso di assenze o turnover del personale. Tuttavia, se non gestita correttamente e con le dovute cautele, questa pratica può anche portare a violazioni della privacy dei lavoratori e a forme di controllo a distanza non consentite dalla legge.

Il documento del Garante non reca prescrizioni né introduce nuovi adempimenti a carico dei titolari del trattamento, esso si propone quindi di fornire una guida chiara e dettagliata su come bilanciare queste esigenze contrapposte, nel pieno rispetto sia del Regolamento Generale sulla Protezione dei Dati (GDPR) che dello Statuto dei Lavoratori.

L'obiettivo è quello di creare un ambiente di lavoro digitale che sia al contempo sicuro, efficiente e rispettoso dei diritti fondamentali dei lavoratori.

La disciplina di settore in materia di controlli a distanza

Nel primo provvedimento del 23 dicembre 2023, il Garante della protezione dei dati spiegava in questo modo la necessità del rispetto dello Statuto dei lavoratori:

“L’art. 4, comma 1, l. 20 maggio 1970, n. 300, come modificato dal d.lgs. 14 settembre 2015, n. 151, individua tassativamente le finalità (ovvero quelle organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale) per le quali gli strumenti, dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere impiegati nel contesto lavorativo, stabilendo precise garanzie procedurali (accordo sindacale o autorizzazione pubblica).

Le predette garanzie non trovano invece applicazione “agli strumenti di registrazione degli accessi e delle presenze”, così come “agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” (art. 4, comma 2, l. n. 300/1970).

Tale disposizione introduce un’eccezione, rispetto al più restrittivo regime previsto dal comma 1, e deve, pertanto, essere oggetto di stretta interpretazione, considerate le responsabilità anche sul piano penale che possono derivare dalla violazione del predetto quadro normativo.

Per scelta espressa del legislatore, solo gli strumenti preordinati, anche in ragione delle caratteristiche tecniche di configurazione, alla “registrazione degli accessi e delle presenze” e allo “svolgimento della prestazione” non soggiacciono quindi ai limiti e alle garanzie di cui al primo comma, in quanto funzionali a consentire l’assolvimento degli obblighi che discendono direttamente dal contratto di lavoro, vale a dire, la presenza in servizio e l’esecuzione della prestazione lavorativa.”

Alla luce delle disposizioni richiamate, l’attività di raccolta e conservazione dei soli c.d. metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, per un tempo che, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione - affinché sia ritenuto applicabile il comma 2 dell’art. 4 della L. n. 300/1970 – non può essere superiore di norma a poche ore o ad alcuni giorni, in ogni caso non oltre sette giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore.

Diversamente, la generalizzata raccolta e la conservazione di tali metadati, per un lasso di tempo più esteso – ancorché sul presupposto della sua necessità per finalità di sicurezza informatica e tutela dell’integrità del patrimonio, anche informativo, del datore di lavoro -, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta l. n. 300/1970 (v., da ultimo, provv. 1° dicembre 2022, n. 409, doc. web n. 9833530)”.

 

Tempi di conservazione dei metadati

Uno dei punti più rilevanti e innovativi del documento riguarda i tempi di conservazione dei metadati. Il Garante stabilisce che, in linea generale, questi dati dovrebbero essere conservati per un periodo limitato, non superiore ai 21 giorni.

Questo limite temporale è stato stabilito dopo un'attenta valutazione, considerando che nella maggior parte dei casi un periodo più lungo non è necessario per garantire il corretto funzionamento del sistema di posta elettronica e la sicurezza informatica di base. Il Garante ritiene che 21 giorni siano generalmente sufficienti per identificare e rispondere a eventuali problemi tecnici o minacce alla sicurezza.

Il documento fornisce importanti chiarimenti su come si applica l'articolo 4 dello Statuto dei Lavoratori in questo contesto specifico. In particolare:

La raccolta e conservazione dei metadati per periodi brevi (fino a 21 giorni) e per scopi strettamente legati al funzionamento delle infrastrutture del sistema di posta elettronica rientra nell'eccezione prevista dal comma 2 dell'articolo 4. Ciò significa che non è necessario un accordo sindacale o un'autorizzazione amministrativa per questo tipo di trattamento.

Tuttavia, il Garante riconosce che in alcuni casi particolari potrebbe essere necessario conservare i metadati per un periodo più lungo. In questi casi, l'azienda dovrà:

- Giustificare adeguatamente questa necessità, fornendo motivazioni specifiche e dettagliate

- Documentare le ragioni specifiche che rendono necessaria una conservazione più lunga, mantenendo queste documentazioni aggiornate e disponibili per eventuali ispezioni;

-  Adottare tutte le misure tecniche ed organizzative per

• assicurare il rispetto del principio di limitazione della finalità,
• l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti
• la tracciatura degli accessi effettuati.

Al contrario, una raccolta e conservazione più estesa e generalizzata dei metadati, che potrebbe potenzialmente consentire un controllo indiretto sull'attività dei lavoratori, richiede l'applicazione delle garanzie previste dal comma 1 dell'articolo 4, ovvero l'accordo sindacale o l'autorizzazione amministrativa. Questo è un punto cruciale che le aziende devono tenere in seria considerazione se intendono conservare i metadati per periodi più lunghi.

Principi di protezione dei dati

Il documento richiama l'attenzione dei datori di lavoro su alcuni principi fondamentali del GDPR che devono essere scrupolosamente rispettati nella gestione dei metadati della posta elettronica:

-Principio di liceità: il trattamento dei metadati deve avere una base giuridica valida, come il legittimo interesse dell'azienda a garantire la sicurezza dei propri sistemi informatici. È importante che le aziende documentino chiaramente qual è la base giuridica su cui si fondano per il trattamento dei metadati.

 

-Principio di correttezza e trasparenza: i lavoratori devono essere chiaramente e dettagliatamente informati su quali dati vengono raccolti, per quanto tempo e per quali scopi specifici. Questo richiede la predisposizione di informative chiare e complete.

 

-Principio di limitazione della finalità: i metadati raccolti non possono essere utilizzati per scopi diversi da quelli dichiarati inizialmente. Ad esempio, se i metadati sono raccolti per scopi di sicurezza informatica, non possono poi essere utilizzati per valutare la produttività dei dipendenti.

 

-Principio di minimizzazione dei dati: devono essere raccolti solo i metadati strettamente necessari per le finalità dichiarate. Le aziende dovrebbero quindi effettuare un'analisi dettagliata per determinare quali metadati sono effettivamente necessari.

 

-Principio di limitazione della conservazione: i metadati devono essere conservati solo per il tempo necessario a raggiungere le finalità del trattamento. Questo si collega direttamente alle indicazioni sui tempi di conservazione discusse in precedenza.

Responsabilità del titolare del trattamento

Il documento sottolinea con forza che il datore di lavoro, in quanto titolare del trattamento, ha la responsabilità primaria di garantire il rispetto di tutti questi principi. In particolare, deve:

- Verificare che i sistemi di gestione della posta elettronica in uso siano pienamente conformi alle indicazioni del Garante

- Adottare misure tecniche e organizzative adeguate per proteggere i dati, come sistemi di crittografia, controlli degli accessi, e procedure di audit

- Effettuare una valutazione d'impatto sulla protezione dei dati (DPIA) se il trattamento presenta rischi elevati per i diritti e le libertà dei lavoratori

- Fornire ai lavoratori un'informativa chiara, completa e facilmente comprensibile sul trattamento dei loro dati

- Nominare, ove necessario, un Responsabile della Protezione dei Dati (DPO) che possa supervisionare la conformità dell'azienda a queste linee guida

Indicazioni per i fornitori di servizi di posta elettronica

Il documento si rivolge anche ai fornitori di sistemi e servizi di gestione della posta elettronica, invitandoli a:

- Progettare i loro prodotti tenendo conto dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita (privacy by design e privacy by default)

- Offrire ai loro clienti (i datori di lavoro) la possibilità di configurare facilmente i sistemi in modo conforme alle indicazioni del Garante, ad esempio permettendo una facile impostazione dei periodi di conservazione dei metadati

- Fornire strumenti che consentano una gestione granulare dei periodi di conservazione dei metadati, permettendo ad esempio di impostare periodi diversi per diverse categorie di metadati

- Implementare sistemi di logging avanzati che permettano di tracciare e documentare tutti gli accessi ai metadati

Conclusioni

Il documento di indirizzo del Garante della Privacy rappresenta un importante passo avanti nella regolamentazione dell'uso della posta elettronica aziendale. Fornisce una guida chiara e dettagliata su come bilanciare le esigenze di sicurezza e organizzazione delle aziende con il diritto fondamentale alla privacy dei lavoratori.