Con il Provvedimento del 6 giugno 2024, il Garante Privacy detta nuove regole per la gestione delle email dei lavoratori e dei metadati a cui le aziende dovranno adeguarsi.
Ma come dovranno organizzarsi gli imprenditori per rispettare il GDPR e la normativa a tutela dei lavoratori e avere un’azienda compliant?
Ecco la checklist sulle misure tecniche e organizzative da mettere in atto sulle email dei lavoratori e metadati, ma partiamo dalle basi.
Di cosa parliamo quando parliamo di metadati
L’argomento centrale della discussione avviata dal Garante sono i metadati, ossia tutti gli elementi a corredo della mail, a eccezione del corpo del messaggio. Dunque, parliamo di informazioni quali gli indirizzi di posta elettronica, le date, il mittente e il destinatario, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati, l’oggetto della mail.
In particolare, il Garante afferma che le comunicazioni dei dipendenti rientrano tra i dati personali e, in quanto tali, vanno tutelate come prescritto dal GDPR e dalla Costituzione. I metadati rientrano a tutti gli effetti tra le comunicazioni personali, da cui è possibile ottenere informazioni relative alla sfera personale del dipendente non necessarie per la valutazione della sua prestazione professionale.
Inoltre, le attività di trattamento dei dati relativi alle email aziendali ha anche risvolti giuslavoristici, dal momento che lo Statuto dei Lavoratori richiede un preliminare accordo sindacale o l’autorizzazione dell’Ispettorato Nazionale del lavoro per l’utilizzo di strumenti che possono comportare un controllo a distanza. Solo in presenza di determinati requisiti, alle email aziendali può trovare applicazione l’eccezione prevista dall’art. 4, comma 2, dello stesso Statuto.
Cosa dice il Provvedimento del Garante su email dei lavoratori e metadati
Il Provvedimento del 6 giugno 2024 – Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati, impatta inevitabilmente sulle organizzazioni che utilizzano email aziendali.
Il Provvedimento arriva in seguito a una consultazione pubblica avviata dal Garante il 27 febbraio 2024. Nei mesi precedenti, infatti, l’Autorità aveva pubblicato un documento di indirizzo attraverso il Provvedimento del 21 dicembre 2023, la cui efficacia è stata successivamente sospesa proprio per avviare una consultazione pubblica con datori di lavoro, esperti in tema di protezione dati e altri soggetti interessati.
Il Garante, infatti, dopo le accese discussioni suscitate tra gli esperti, ha deciso di avviare una consultazione pubblica per ricevere osservazioni e proposte in merito:
- alla congruità del termine di conservazione dei metadati generati e raccolti automaticamente dai protocolli di posta elettronica, in relazione alle finalità perseguite dai datori di lavoro;
- alle forme e modalità di utilizzo di tali metadati che ne renderebbero necessaria una conservazione superiore a quella ipotizzata nel primo documento di indirizzo.
La definizione tecnica dei metadati
Il Provvedimento rivisto fornisce chiarimenti sulla definizione tecnica dei metadati, descrivendoli come le “informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client (le postazioni terminali che effettuano l’invio dei messaggi e che consentono la consultazione della corrispondenza in entrata accedendo ai mailbox elettroniche, definite negli standard tecnici quali MUA – Mail User Agent)”.
Il Garante indica anche cosa si intende per metadati, ovvero:
- indirizzi email del mittente;
- indirizzi email del destinatario;
- indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio;
- orari di invio, di ritrasmissione o di ricezione;
- dimensione del messaggio;
- presenza di eventuali allegati e dimensione;
- in certi casi, oggetto del messaggio spedito o ricevuto.
I metadati cui si fa riferimento, quindi, sono log che vengono registrati automaticamente dai sistemi di posta elettronica, a prescindere dalla percezione e dalla volontà dell’utilizzatore. Dai metadati, infatti, è a volte possibile ricavare informazioni sulla sfera personale del lavoratore, che non sono necessarie per la valutazione della sua prestazione lavorativa.
Quando si parla di metadati non bisogna fare confusione con il corpo del messaggio (body-part) né con le informazioni contenute nell’envelope, considerate informazioni tecniche strutturate e inscindibili dall’email.
Gli aspetti giuslavoristici e lo Statuto dei Lavoratori
La definizione dei metadata è importante anche per comprendere quali sono le attività di trattamento consentite.
Oltre al rispetto della normativa privacy, infatti, il trattamento dei dati delle email dei dipendenti richiede anche il rispetto dello Statuto dei Lavoratori.
Secondo l’art. 4, comma 1, dello Statuto dei Lavoratori, possono essere adottati strumenti dai quali derivi la possibilità di controllo a distanza dei lavoratori solo per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale. Tutto ciò, a condizione che ci sia stato un accordo sindacale o un’autorizzazione dell’Ispettorato nazionale del lavoro.
Invece, il comma 2 dell’art. 4 Statuto dei Lavoratori stabilisce che tali prerequisiti non si applicano agli strumenti utilizzati dal lavoratore (tra i quali rientrano senz’altro le email aziendali) per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.
Con questo provvedimento il Garante, valutando i metadati come portatori di informazioni personali, ribadisce che devono trovare applicazione i principi del GDPR, come la limitazione della conservazione e della raccolta, che devono essere:
- proporzionati alle finalità legittime perseguite
- limitate nel tempo di 21 giorni o un termine più ampio solo in determinate condizioni.
Ciò impatta anche dal punto di vista dello Statuto dei Lavoratori, perché se invece viene effettuata una generalizzata raccolta e conservazione dei log di posta elettronica, per un lasso di tempo più esteso, questa può comportare un indiretto controllo a distanza dell’attività dei lavoratori, con la conseguente necessità dei requisiti dell’accordo sindacale o dell’autorizzazione dell’Ispettorato nazionale del lavoro.
Checklist per le aziende: come gestire le email aziendali e i metadati
Il nuovo provvedimento su email dei lavoratori e metadati indica in principi da rispettare e le iniziative da mettere in atto affinché le aziende siano in regola con il GDPR e la normativa che stabilisce le condizioni per l’impiego degli strumenti tecnologici nei luoghi di lavoro.
Ciò che va chiarito però è che il documento che commentiamo è un “documento di indirizzo”, cioè si pone di fornire delle linee guida per l’adeguamento aziendale, pur non essendo un provvedimento che “reca prescrizioni né introduce nuovi adempimenti a carico dei titolari del trattamento”.
In sostanza: sta al titolare del trattamento, in base al principio di accountability, interpretare il suo caso concreto e determinare le misure da mettere in atto.
Dunque, non si tratta di obblighi o nuovi adempimenti in materia di privacy per le organizzazioni, ma di interpretare le norme privacy in concerto con quelle previste nello Statuto dei lavoratori, in particolare l’art. 4, in materia di impianti audiovisivi e altri strumenti che possono comportare il controllo a distanza dei lavoratori.
Tuttavia, se volessimo individuare delle misure tecniche e organizzative da mettere in atto, ecco una checklist sulla gestione delle email dei lavoratori secondo le indicazioni del Garante.
Limitare la conservazione dei dati
Uno degli aspetti principali del Provvedimento sulle email aziendali e i metadati è il periodo di conservazione dei dati. I tempi di conservazione dei metadati devono essere proporzionati alle finalità legittime perseguite, come la sicurezza informatica e la tutela del patrimonio informatico. Il Garante sottolinea, infatti, che l’attività di raccolta e conservazione dei soli metadati/log deve essere effettuata esclusivamente per un periodo limitato a qualche giorno. In particolare, il documento dice che “a titolo orientativo, tale conservazione non dovrebbe comunque superare i 21 giorni” ed esclusivamente per le operazioni che assicurano il corretto funzionamento della posta elettronica.
Inoltre, il periodo di conservazione può essere esteso solo in condizioni in cui esso sia strettamente necessario e dimostrabile secondo il principio di accountability. La conservazione prolungata dei dati senza giustificati motivi può violare il principio di limitazione della conservazione.
Il Garante suggerisce alcune misure tecniche per garantire la limitazione della conservazione dei metadati, quali:
- Configurare i sistemi e i servizi di gestione della posta elettronica in modo da disabilitare la raccolta automatica dei metadati non necessari;
- Ridurre i tempi di conservazione predefiniti
- Implementare l’anonimizzazione e la cifratura dei dati;
- Adottare misure di sicurezza informatica adeguate;
- Impedire l’accesso ai dati da parte di soggetti non autorizzati.
Verificare il rispetto del principio di liceità del trattamento
Gli articoli 5 e 6 del GDPR prescrivono che il trattamento dei dati personali nel contesto lavorativo avvenga nel rispetto del principio di liceità. Per tale ragione, è necessario che il titolare del trattamento – che nel contesto lavorativo corrisponde al datore di lavoro – verifichi che vi siano i presupposti per il trattamento attraverso gli strumenti tecnologici e che vengano rispettate le condizioni per il trattamento in ambito lavorativo.
In particolare, il datore di lavoro può acquisire e trattare solamente informazioni utili e rilevanti per valutare le prestazioni del lavoratore. Mentre, non possono essere raccolti e trattati dati inerenti alla sfera privata della persona.
È fatto divieto di “effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore” (art. 8 Statuto dei Lavoratori).
Individuare le finalità del trattamento
All’azienda spetta l’onere di individuare le finalità del trattamento per le quali verranno impiegati strumenti di trattamento. Le finalità possono essere di tipo organizzativo, produttivo, di sicurezza del lavoro e di tutela del patrimonio aziendale.
Quando l’utilizzo di strumenti a distanza è limitato ai casi, alle condizioni e ai limiti definiti dal Garante può trovare applicazione l’esenzione di cui al comma 2, dell’art. 3 dello Statuto dei Lavoratori.
Di conseguenza, è la portata delle informazioni trattate e della finalità per cui vengono trattate che determina gli obblighi conseguenti.
Per questo motivo, è opportuno domandarsi del perché del trattamento di certi dati.
Rispettare il principio di correttezza e trasparenza
In caso di trattamento e raccolta di informazioni da email e metadati, il datore di lavoro ha l’obbligo di informare i dipendenti in anticipo rispetto al trattamento stesso. Si parla, infatti, della “necessità di fornire agli interessati in modo corretto e trasparente una chiara rappresentazione del complessivo trattamento effettuato” in modo che la persona sia consapevole della tipologia di trattamento previsto.
Ciò significa garantire informative privacy complete e pertinenti alle attività.
Applicare le garanzie di segretezza
Le email dei lavoratori, e i metadati a queste collegati, vengono considerati alla stregua della corrispondenza e, di conseguenza, sono soggetti anche alle garanzie di segretezza. Ciò implica un atteggiamento di riservatezza sui messaggi oggetto di corrispondenza da parte dei titolari.
Valutare l’eventualità di effettuare la DPIA
Il titolare ha il compito di verificare che le tecnologie utilizzate e i trattamenti previsti vadano sottoposti a una valutazione d’impatto preventiva sulla protezione dei dati personali, ossia la DPIA. Secondo il principio di “responsabilizzazione”, infatti, è necessario che il datore di lavoro valuti eventuali rischi legati al trattamento delle email e dei metadati.
Verificare la conformità dei fornitori alle normative sulla protezione dei dati
Quando si utilizzano servizi forniti da terze parti i datori di lavoro devono verificare che i fornitori (server, hosting provider) rispettino il GDPR e che il trattamento sia conforme alla normativa sulla privacy.
Conclusioni
Sebbene generalmente non implichi nuovi obblighi per le aziende, il Provvedimento del 6 giugno 2024 chiarisce in maniera puntuale l’ambito di applicazione delle norme sulle comunicazioni online dei lavoratori, ossia la posta elettronica e i metadati.
Dunque non siamo di fronte a nuovi obblighi per le organizzazioni, ma il documento precisa che le norme previste dal GDPR e dallo Statuto dei Lavoratori in materia di comunicazioni personali si applicano anche alla posta elettronica dei dipendenti, formata da email e metadati. Questi ultimi, definiti anche log della posta elettronica, costituiscono tutte le informazioni imprescindibili che accompagnano il messaggio di posta elettronica (indirizzi email del ricevente e del destinatario, l’oggetto dell’email, gli allegati, gli orari di invio).
Per le organizzazioni, quindi, non sono previsti impegni ulteriori ma è necessario che seguano le indicazioni del Garante per effettuare il trattamento dei dati in conformità con il GDPR.
C’è da sottolineare che spetta alle aziende anche il compito di vigilare sui fornitori di soluzioni tecnologiche. Questi ultimi, infatti, in quanto incaricati della fornitura di programmi e servizi informatici di gestione della posta elettronica, sono comunque soggetti alle disposizioni in materia di trattamento dei dati personali previste dal Regolamento e alle disposizioni dei titolari e destinatari di questo provvedimento.
