Il trattamento di dati personali sul luogo di lavoro è stato ed è, nel nostro ordinamento, oggetto di grande attenzione da parte del Garante per la protezione dei dati personali.
Nel mese di dicembre 2023 il Garante ha, infatti, adottato un documento di indirizzo riguardante i programmi per la gestione della posta elettronica nel contesto lavorativo (il “Documento di Indirizzo”), sostanzialmente chiedendo ai titolari del trattamento e datori di lavoro di limitare la raccolta sistematica di metadati provenienti dalla posta elettronica o, comunque, di ridurre il periodo di conservazione degli stessi.
Principi fondamentali enunciati nel documento di indirizzo
Nel Documento di Indirizzo il Garante ha osservato che il tempo di conservazione dei metadati di posta elettronica dei dipendenti (ovvero delle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta quali indirizzo e-mail e l’indirizzo IP di mittente e destinatario, l’ora e la data di invio, l’oggetto del messaggio) avrebbero potuto essere conservati per un termine di 7 giorni, estendibili fino ad un massimo 9.
Impatto del documento di indirizzo sulle politiche aziendali
Il Documento di Indirizzo ha, inevitabilmente, sollevato molti interrogativi da parte degli operatori del settore e di tutti i titolari del trattamento, per aver declinato in modo puntuale un adempimento che sino a quel momento non era stato oggetto di attenzione e per cui è stata introdotta la previsione di un tempo di conservazione (c.d. data retention) stringente e limitato.
Il Documento di Indirizzo del Garante del mese di dicembre è stato, così, sottoposto a consultazione pubblica e ad una riedizione del testo nel mese di giugno 2024: il Garante, in tale revisione dei contenuti del Documento di Indirizzo alla luce della consultazione pubblica, ha ribadito ed ulteriormente illustrato i principi già enunciati, estendendo il periodo di conservazione ritenuto “congruo” ad un termine massimo di 21 giorni.
Le nuove forme di garanzia e di tutela dei lavoratori
L’attenzione del Garante della Privacy al tema deve essere letta alla luce della costante interazione tra la situazione socio-economica e quella giuridica, che vede un progressivo aumento di tecnologie atte a monitorare le prestazioni lavorative mediante utilizzo di algoritmi, intelligenza artificiale o strumenti digitali, testimoniata – oltre che da un numero crescente di provvedimenti sanzionatori in ambito di illecito trattamento di dati personali sul luogo di lavoro – da interventi legislativi di diversa natura, quali, ad esempio, il D. Lgs. n. 104/2022 che, in attuazione delle disposizioni dettate dall’UE, ha introdotto nuovi obblighi di trasparenza giuslavoristica e di data protection, ed il D.Lgs. 23/24 sul whistleblowing che ha imposto nuove forme di garanzia e di tutela dei lavoratori alla riservatezza ed alla non discriminazione.
Comunicazioni elettroniche sul posto di lavoro secondo i Garanti europei e il GDPR
Le fonti legislative del Documento di Indirizzo hanno, del resto, profonde radici del nostro sistema e si pongono in continuità con il Parere 8/2001 sul trattamento dei dati personali nel contesto lavorativo (WP 48) riguardante la “vigilanza sulle comunicazioni elettroniche sul posto di lavoro” e con le “Linee guida del Garante per posta elettronica e internet” del 10 marzo 2007, in cui era stato affrontato anche il tema dei controlli c.d. “preterintenzionali” sull’attività lavorativa ed invitato i datori di lavori alla minimizzazione dei trattamenti ed alla trasparenza, di fatto rimettendo il tempo di conservazione dei dati a quello strettamente limitato al “perseguimento di finalità organizzative, produttive e di sicurezza”.
Centrale, nell’attuale panorama legislativo, l’osservazione dei Garanti Europei formulata nel documento “Linee Guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679” adottate il 4 maggio 2020, in relazione al fatto che il consenso del dipendente non possa essere considerato valida base giuridica nei rapporti di lavoro, in considerazione dello squilibrio di potere risultante dal rapporto tra datore di lavoro e dipendente.
I Garanti europei, facendo chiarezza sulla base giuridica da invocarsi con riferimento all’attivazione di sistemi di monitoraggio delle comunicazioni e delle prestazioni lavorative, hanno infatti dichiarato “non realistico” che un dipendente possa rispondere liberamente, “senza percepire pressioni”, alla richiesta del datore di lavoro di acconsentire a tali sistemi.
L’art. 88 ed il Considerando 155 del GDPR, è bene ricordarlo, sottolineano la necessità di tutelare gli interessi specifici dei dipendenti e indica specificamente una possibilità di deroga nel diritto degli Stati membri, per cui ogni datore di lavoro con dipendenti in diverse sedi degli Stati Membri dovrà effettuare specifiche verifiche in ciascuna diversa realtà giuridica per la conformità del trattamento.
Trattamento dei metadati: rivedere il modello di gestione della privacy
Secondo il Documento di Indirizzo, tutti i datori di lavoro sono pertanto chiamati a verificare con la dovuta diligenza che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti consentano di modificare le impostazioni di base, impedendo la raccolta dei predetti metadati o limitando il periodo di conservazione degli stessi, disabilitando la conservazione di metadati eccedente rispetto alle prescrizioni del Garante.
Coloro che hanno necessità di estendere il periodo di conservazione dei metadati dei dipendenti oltre il termine “congruo” di 21 giorni potrebbero farlo soltanto in presenza di particolari condizioni comprovando le specificità della realtà tecnica e organizzativa del Titolare, fermo restando che la generalizzata conservazione dei metadati potrà avvenire soltanto previo espletamento delle procedure di garanzia previste dalla disciplina di settore (art. 4 della l. 300/1970).
Conclusioni
Tutti i datori di lavoro sono chiamati, in definitiva, a rivedere, implementare ed aggiornare gli adempimenti privacy connessi ai rapporti di lavoro, quali informativa, l’aggiornamento del registro delle attività di trattamento e la valutazione di impatto in relazione ai sistemi considerati.
