Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

E-mail dei dipendenti e metadati: dal Garante privacy arriva un Documento di indirizzo

Il Garante per la protezione dei dati personali ha reso pubblico lo scorso 6 febbraio un documento di indirizzo sulla conservazione dei dati relativi alle e-mail aziendali, denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, rivolto ai datori di lavoro pubblici e privati.

Il Documento nasce a seguito di accertamenti effettuati dall’Autorità con riguardo ai trattamenti di dati personali nel contesto lavorativo dai quali è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud o as-aservice (SaaS), sono spesso configurati di default in modo tale da raccogliere e conservare – per impostazione predefinita – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad es., giorno, ora, mittente, destinatario, oggetto e dimensione della mail), conservando gli stessi per un arco temporale troppo esteso. Ciò, talvolta, ponendo limitazioni anche al datore di lavoro in ordine alla possibilità di modificare le impostazioni di base del programma informatico utilizzato al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi.

Con tale Documento, dunque, il Garante, tenuto conto dei rischi per i diritti e le libertà degli interessati, ha voluto fornire delle indicazioni volte a prevenire iniziative e trattamenti in contrasto con la disciplina in materia di protezione dei dati, chiedendo testualmente “ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti consentano di modificare le impostazioni di base”.

L’obiettivo è chiaro: impedire la raccolta sistematica dei metadati, limitando il periodo di conservazione degli stessi “ad un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore”.

Ne consegue che entro al massimo 9 giorni i datori di lavoro dovranno eliminare tali dati.

Se ciò non fosse possibile richiedendo un tempo di conservazione più dilatato, bisognerà ricorrere alle procedure previste dall’art. 4 dello Statuto dei lavoratori, ossia alla sottoscrizione di un accordo sindacale o all’ottenimento di un’autorizzazione dell’Ispettorato del lavoro.

Il provvedimento del Garante, dunque, individua nelle procedure di garanzia previste dal citato articolo 4, gli strumenti utili ad arginare la potenziale illiceità nel trattamento dei metadati descritti, persistendo, così, in quella che per molti appare una errata interpretazione della norma.

L’art. 4 dello Statuto, nato nel 1970, è stato riscritto nel 2015, con il Jobs Act, proprio per escludere dalla necessità di autorizzazione preventiva tutti gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa.  Si è assistito, tuttavia, ad un progressivo restringimento, ad opera delle interpretazioni giurisprudenziali e amministrative, della nozione “strumento di lavoro”, arrivando, con quest’ultima pronuncia del Garante, a “sezionare” anche uno strumento indubbiamente necessario per lavorare, quale l’e-mail, per distinguere al suo interno quello che potrebbe esulare dalla definizione. E così l’e-mail, secondo il Garante, sarebbe uno strumento di lavoro solo per sette giorni, estensibili, sulla base di comprovate esigenze, di ulteriori 48 ore.

La raccolta e la conservazione delle informazioni relative alle e-mail, i cosiddetti metadati, non rientrerebbe invece nella definizione di strumento di lavoro e necessiterebbe quindi di autorizzazione preventiva.

La distinzione parrebbe tuttavia discutibile non solo in relazione alla determinazione del termine di sette giorni, ma anche perché la conservazione delle mail nella loro interezza è necessaria per lavorare: se i messaggi di posta elettronica sono rivolti all’esterno, infatti, possono avere rilievo negoziale e di prova; se rivolti all’interno hanno a che vedere con l’organizzazione e la gestione delle attività.

In sostanza, dunque, dalla raccolta e conservazione integrale delle e-mail e delle relative informazioni, non si dovrebbe prescindere. Una soluzione va trovata indubbiamente ma può non essere quella dell’accordo sindacale o dell’istanza all’Ispettorato che, oltretutto, esporrebbe le aziende a regole disomogenee oltreché potenzialmente poco tutelanti.