il Documento di Indirizzo

Email di lavoro, come adeguarsi agli indirizzi del Garante Privacy

Home Sicurezza digitale Privacy
Indirizzo copiato

Il Garante Privacy ha pubblicato un documento di indirizzo e avviato una consultazione pubblica per disciplinare la gestione dei metadati di posta elettronica nel contesto lavorativo. Il provvedimento ha introdotto modifiche e chiarimenti riguardanti l’applicazione delle norme, la conservazione dei metadati e le responsabilità dei datori di lavoro e dei fornitori di servizi

Pubblicato il 20 giu 2024
Anna Cataleta

Senior Partner di P4I e Senior Advisor presso l’Osservatorio Cybersecurity & Data Protection (MIP)

Maria Concetta Oddo

P4I, Senior Legal Consultant

privacy

La gestione della posta elettronica in ambito lavorativo è una questione complessa e delicata, al crocevia tra privacy, diritti dei lavoratori e necessità operative delle aziende.

Il recente Documento di Indirizzo emesso dal Garante per la Protezione dei Dati Personali ha introdotto importanti novità che coinvolgono tutti gli attori del processo: dai fornitori di servizi di gestione della posta elettronica alle organizzazioni aziendali.

Mail al lavoro, le istruzioni finali dal Garante privacy per non sbagliare

Il Documento di Indirizzo del Garante sulla gestione di posta elettronica in ambito lavorativo

Il 21 dicembre 2023 il Garante Privacy ha pubblicato il documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (“Documento di indirizzo”).

Con il provvedimento del 22 febbraio 2024 il Garante ha deliberato di avviare una consultazione pubblica volta ad acquisire osservazioni e proposte riguardo alla congruità, in relazione alle finalità perseguite dai datori di lavori pubblici e privati, del termine di conservazione dei metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica e relativi alle operazioni di invio, ricezione e smistamento dei messaggi di posta elettronica (log) e, più in generale alle forme e modalità di utilizzo di tali metadati che ne renderebbero necessaria una conservazione superiore a quella ipotizzata nel citato documento di indirizzo.

A seguito della chiusura della consultazione, il Garante ha pubblicato il Provvedimento del 6 giugno 2024 – Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati [10026277] apportando delle modifiche e integrazioni al Documento di Indirizzo, anche con riferimento ai criteri che possano orientare le scelte dei datori di lavoro nell’individuazione dell’eventuale periodo di conservazione dei predetti log, ai fini dell’applicazione dell’eccezione contenuta nell’art. 4, comma 2, della l. 20 maggio 1970, n. 300 (“Statuto dei Lavoratori”) rispetto alla regola di cui al comma 1 della stessa legge, per assicurare il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica, comprese le essenziali garanzie di sicurezza informatica. In particolare, sono stati forniti chiarimenti in merito a:

  • ambito oggettivo di applicazione del documento;
  • definizione di metadato;
  • natura del documento.

Il documento di indirizzo di dicembre 2023

Il Documento di Indirizzo rivolto a datori di lavoro pubblici e privati è stato pubblicato dal Garante a seguito ad alcuni accertamenti che hanno rilevato che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono spesso “configurati in modo da raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail)”. Con il Documento il Garante ha altresì precisato che l’esecuzione di un trattamento non conforme alla disciplina comporta una responsabilità per i datori di lavoro sia sul piano amministrativo che penale. Secondo il Garante affinché possa ritenersi applicabile il comma 2 dell’art. 4 Statuto dei Lavoratori, l’attività di raccolta e conservazione dei soli c.d. metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica non può essere superiore di norma a:

  • poche ore o ad alcuni giorni
  • in ogni caso non oltre sette giorni;
  • estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore.

Diversamente, comporta un indiretto controllo a distanza dell’attività dei lavoratori e l’esperimento delle garanzie previste dall’art. 4, comma 1, Statuto dei Lavoratori (accordo sindacale/ autorizzazione ITL) la generalizzata raccolta e la conservazione di tali metadati:

  • per un lasso di tempo più esteso;
  • per finalità di sicurezza informatica e tutela dell’integrità del patrimonio, anche informativo (in particolare, ad esempio, per specifiche esigenze di sicurezza dei sistemi del datore di lavoro) nonché per esigenze organizzative e produttive.

Nel Documento di Indirizzo vi era inoltre un paragrafo ad hoc afferente i messaggi di posta elettronica in cui si riporta che l’impiego dei programmi e servizi informatici dà luogo a “trattamenti” di dati personali, riferiti a “interessati”, identificati o identificabili, nel contesto lavorativo e, pertanto, risulta necessario che il datore di lavoro, in qualità di titolare del trattamento, deve verificare:

  • la sussistenza di un idoneo presupposto di liceità (cfr. artt. 5, par. 1, lett. a) e 6 del GDPR) prima di effettuare trattamenti di dati personali dei lavoratori;
  • la sussistenza dei presupposti di liceità stabiliti dall’art. 4 Stat. Lav. nonché il rispetto delle diposizioni che vietano al datore di lavoro di acquisire e comunque trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata.

Il Documento prescriveva ai datori di lavoro di:

  • verificare con la dovuta diligenza che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service – consentano al cliente (datore di lavoro) di modificare le impostazioni di base, impedendo la raccolta dei predetti metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di sette giorni, estensibile di ulteriori 48 ore (casi in cui la raccolta e conservazione è necessaria ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica);
  • alternativamente, nel caso in cui i trattamenti di dati personali in questione si dovessero comunque rendere necessari per il perseguimento di esigenze organizzative o produttive:
    • espletare le richiamate procedure di garanzia previste dalla disciplina di settore (art. 4 Stat. Lav.);
    • cessare l’utilizzo di tali programmi e servizi informatici.
  • adempiere agli obblighi di trasparenza verso gli interessati: fornire specifica informativa sul trattamento dei dati personali prima di dare inizio al trattamento tenuto conto del fatto che l’adempimento degli obblighi informativi nei confronti dei dipendenti (consistenti nella “adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli”) costituisce anche una specifica precondizione per il lecito utilizzo dei dati raccolti attraverso strumenti tecnologici, da parte del datore di lavoro, anche a tutti i fini connessi al rapporto di lavoro (art. 4, co. 3, Stat. Lav.).

La consultazione pubblica

Il Garante il 27 febbraio 2024 ha annunciato il differimento dell’efficacia del Documento di Indirizzo e ha chiarito l’ambito di applicazione ossia, “metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica e relativi alle operazioni di invio, ricezione e smistamento dei messaggi di posta elettronica (che possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei computer coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione e di ricezione, la dimensione del messaggio, la presenza e la dimensione degli eventuali allegati, in certi casi anche l’oggetto del messaggio spedito o ricevuto) e, più in generale alle forme e modalità di utilizzo di tali metadati che ne renderebbero necessaria una conservazione superiore a quella ipotizzata nel documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”

Il provvedimento del 6 giugno 2024

Il nuovo provvedimento del Garante fornisce rispetto al precedente delle specifiche importanti. In primo luogo, si chiarisce la natura del Documento di Indirizzo che non reca prescrizioni né introduce nuovi adempimenti a carico dei titolari del trattamento ma intende offrire una ricostruzione sistematica delle disposizioni applicabili con il solo fine di richiamare l’attenzione su alcuni punti di intersezione tra la disciplina di protezione dei dati e le norme che stabiliscono le condizioni per l’impiego degli strumenti tecnologici nei luoghi di lavoro. Si precisa quindi la natura orientativa del Documento di Indirizzo in ordine alla possibilità di trattare tali informazioni per consentire il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica, comprese le essenziali garanzie di sicurezza informatica, senza necessità di attivare la procedura di garanzia prevista dall’art. 4, comma 1, Statuto dei Lavoratori.

Gli elementi di novità

Gli elementi di maggiore novità riguardano:

Ambito di applicazione oggettiva

Il documento fa riferimento ai metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti, conservando gli stessi per un esteso arco temporale “metadati di posta elettronica” o “log di posta elettronica”. I metadati cui fa riferimento corrispondono tecnicamente alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client (le postazioni terminali che effettuano l’invio dei messaggi e che consentono la consultazione della corrispondenza in entrata accedendo ai mailbox elettroniche, definite negli standard tecnici quali MUA – Mail User Agent). Tali informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto. I metadati (sia quelli di origine prettamente tecnica sia quelli, come il campo “Oggetto”, determinati dagli utenti) presentano la caratteristica di essere registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utilizzatore.

Esclusioni

I metadati non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate – ancorché talvolta non immediatamente visibili agli utenti dei software “client” di posta elettronica (i cosiddetti MUA – Mail User Agent) – a formare il cosiddetto envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici. Le informazioni contenute nell’envelope, ancorché corrispondenti a metadati registrati automaticamente nei log dei servizi di posta, sono inscindibili dal messaggio di cui fanno parte integrante e che rimane sotto l’esclusivo controllo dell’utente (sia esso il mittente o il destinatario dei messaggi). Pertanto, le indicazioni contenute nel documento relativamente ai tempi di conservazione dei metadati come sopra definiti non riguardano i contenuti dei messaggi di posta elettronica (né le informazioni tecniche che ne fanno comunque parte integrante) che rimangono nella disponibilità dell’utente/lavoratore, all’interno della casella di posta elettronica attribuitagli.

Applicazione delle garanzie giuslavoristiche

  • Si applica l’art. 4 comma 1 Statuto dei Lavoratori se, nel contesto lavorativo, ci si avvale di strumenti (per finalità organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale) dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori. Rientrano in tale casistica la generalizzata raccolta e la conservazione dei log di posta elettronica, per un lasso di tempo più esteso, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori. Resta fermo che anche tale conservazione dovrà avvenire nel rispetto del principio di limitazione della conservazione.
  • Si applica l’art. 4 comma 2 Statuto dei Lavoratori nel caso in cui ci si avvale di strumenti utilizzati per la “registrazione degli accessi e delle presenze” e lo “svolgimento della prestazione” in quanto funzionali a consentire l’assolvimento degli obblighi che discendono direttamente dal contratto di lavoro (presenza in servizio e l’esecuzione della prestazione lavorativa). Rientrano in tale casistica:
    • l’attività di raccolta e conservazione dei soli metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica. Il Garante precisa che il termine dovrà essere definito tenendo contodelle valutazioni tecniche e nel rispetto del principio di responsabilizzazione. Si precisa che, di norma, tale termine dovrebbe essere limitato a pochi giorni; a titolo orientativo, tale conservazione non dovrebbe comunque superare i 21 giorni.
    • Sempre nell’ambito della finalità “assicurare il funzionamento delle infrastrutture del sistema della posta elettronica”, l’eventuale conservazione per un termine ancora più ampio potrà essere effettuata, solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente, in applicazione del principio di accountability, le specificità della realtà tecnica e organizzativa del titolare. Spetta in ogni caso al titolare adottare tutte le misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati.

Pertanto, il ricorso a sistemi e soluzioni di gestione e conservazione dei log delle comunicazioni elettroniche può considerarsi rientrante nell’eccezione di cui al comma 2 dell’art. 4 Statuto dei Lavorator nei casi, alle condizioni e per le finalità suindicate.

Due elementi richiamati per la prima volta nel nuovo provvedimento

Due elementi che meritano inoltre una attenta analisi e richiamati per la prima volta nel nuovo provvedimento sono:

Contenuto dei messaggi di posta elettronica

il Garante precisa che affinché tale trattamento – come pure i dati esteriori delle comunicazioni e i file allegati – possa considerarsi lecito, il datore di lavoro deve:

  • prima di effettuare trattamenti di dati personali dei lavoratori attraverso tali programmi e servizi, verificare la sussistenza di un idoneo presupposto di liceità anche con riferimento al contesto lavorativo (art. 6 GDPR);
  • verificare la sussistenza dei presupposti di liceità stabiliti dall’art. 4 della Statuto dei Lavoratori e il rispetto delle diposizioni che vietano al datore di lavoro di acquisire e comunque trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata;
  • rispetti i principi generali del trattamento (artt. 5, 24 e 25 del GDPR);
  • porre in essere tutti gli adempimenti previsti dalle disposizioni normative in materia di protezione dei dati personali e valutare l’effettuazione di una DPIA (art. 35 GDPR);
  • fornire agli interessati in modo corretto e trasparente una chiara rappresentazione del complessivo trattamento effettuato, consentendo agli stessi di disporre di tutti gli elementi informativi essenziali previsti dal GDPR e di essere pienamente consapevole, prima che il trattamento abbia inizio, delle caratteristiche dello stesso (artt. 13 E 14 GDPR);
  • rispettare il principio di accountability (artt. 5, par. 2, e 24 del GDPR) valutando se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche – in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalità perseguite – che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali. Tale necessità ricorre, in particolare, in caso di raccolta e memorizzazione dei log della posta elettronica, stante la particolare “vulnerabilità” degli interessati nel contesto lavorativo, nonché il rischio di “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti.

Obblighi per i fornitori

I produttori dei servizi e delle applicazioni devono tenere conto del diritto alla protezione dei dati conformemente allo stato dell’arte. Anche i fornitori, pertanto, devono contribuire a far sì che i titolari del trattamento possano adempiere ai loro obblighi di protezione dei dati, contemperando le esigenze di commercializzazione su larga scala dei propri prodotti con la conformità degli stessi ai principi del GDPR, anche nella prospettiva di migliorare il prodotto offerto, sotto il profilo della sua maggiore conformità al GDPR.

Conclusioni

Il Provvedimento del 6 giugno 2024 chiarisce l’ambito di applicazione oggettiva ossia, log della posta elettronica. È molto importante che ciascun titolare del trattamento effettui delle valutazioni per verificare la conformità alle disposizioni in materia di protezione dei dati personali.

Con riferimento all’ultima precisazione del Garante e, in particolare, agli obblighi per i fornitori, tale inciso, seppur necessario, è spesso un punto cruciale per le organizzazioni. Molte organizzazioni (piccole e medie imprese), infatti, non possiedono una forza contrattuale che consenta loro di avere pieno controllo e poter negoziare con i colossi che forniscono tali soluzioni tecnologiche.

Vedremo quindi come in questo scenario tali organizzazioni potranno far valere i loro diritti e disciplinare una situazione che si protrae da anni. È sicuramente importante rilevare che le sanzioni del Garante sono rivolte principalmente ai titolari del trattamento e in tale ambito soggettivo potrebbe rivolgersi ai datori di lavoro ma tali indicazioni valgono anche in maniera mandatoria per i fornitori di programmi e servizi informatici di gestione della posta elettronica messi a disposizione in modalità cloud o as-a-service che implichi anche il perseguimento di finalità proprie di questi ultimi.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

C
Anna Cataleta
Senior Partner di P4I e Senior Advisor presso l’Osservatorio Cybersecurity & Data Protection (MIP)
Seguimi su
O
Maria Concetta Oddo
P4I, Senior Legal Consultant
Seguimi su

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • GDPR

    GDPR, tutto ciò che c'è da sapere per essere in regola

    05 Apr 2024

    di Anna Cataleta, Alessandro Longo e Raffaella Natale

    Condividi

  • privacy

    Gdpr e autorità competente per il trattamento dati transfrontaliero: la guida EDPB

    22 Apr 2024

    di Giovanni Ricci

    Condividi

  • regolamentazione

    Stati Uniti, tutte le leggi sull'intelligenza artificiale: il quadro

    19 Giu 2024

    di Anna Cataleta e Andrea Grillo

    Condividi

Prossimo

GDPR, tutto ciò che c'è da sapere per essere in regola

Articolo 1 di 4