Garante Privacy – Documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”. Gli adempimenti a carico del titolare del trattamento dei dati personali.
-
- 19 Novembre 2024
Considerato che per lo svolgimento della loro prestazione lavorativa i dipendenti dell’azienda o dell’ente, (di seguito, anche “titolare del trattamento”), utilizzano strumenti informatici, tra i quali si annoverano anche i mezzi indispensabili per la comunicazione aziendale interna ed esterna.
La comunicazione, pertanto, costituisce parte integrante e sostanziale dello svolgimento delle mansioni lavorative e i dipendenti ricevono dal datore di lavoro applicativi con i quali poter comunicare e scambiare informazioni internamente alla organizzazione del titolare del trattamento dei dati personali (colleghi o superiori) o esternamente ad essa (pazienti, fornitori, consulenti, altri soggetti pubblici, ecc.)
Da questo punto di vista la posta elettronica è lo strumento principe nell’azienda o nell’ente per comunicare.
Con il termine di “posta elettronica” si definisce “uno spazio di memoria di un sistema informatico destinato alla memorizzazione di messaggi, o informazioni di altra natura (immagini, video, ecc.), di un soggetto identificato da un account registrato presso un provider del servizio”; (cfr. Cass. Pen., Sez. V, 31.03.2016, n. 13075).
Per quanto di stretto interesse in questa sede, si riporta quanto segue:
a. L’indirizzo di posta elettronica è un dato personale se consente l’identificazione di un soggetto; è quanto accade presso la organizzazione del titolare ove l’indirizzo e-mail contiene il nome e cognome del dipendente, seguito dal dominio aziendale.
b. Il messaggio di posta elettronica contiene dati personali.
Essendo, pertanto, l’indirizzo di posta elettronica un dato personale, si applicano i principi e le tutele disciplinate dalla vigente normativa di settore: Regolamento (UE) 2016/679 (di seguito, “GDPR”) e D.lgs. n. 196/2003 modificato con D.Lgs. n. 101/2018 (di seguito “Codice Privacy”).
A tale proposito il Garante ha affermato che “il contenuto dei messaggi di posta elettronica – come pure i dati esteriori delle comunicazioni e i file allegati – riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali”; (cfr. Linee guida del Garante per posta elettronica e Internet, 1.3.2007, punto 5.2, lett. b)[1].
L’azienda o l’ente è tenuta a configurare il sistema di posta elettronica attraverso scelte precise, chiare e documentate per garantire che il trattamento dei dati personali sia lecito, trasparente, necessario, proporzionato e sicuro.
Considerato che:
– il trattamento dei dati personali attraverso l’utilizzo di un sistema di posta elettronica, durante lo svolgimento della prestazione lavorativa, ad opera dei dipendenti del titolare del trattamento rileva anche sotto il profilo giuslavoristico, di cui alla Legge n. 300/1970 e s.m.i. (Statuto dei Lavoratori).
– nello specifico, l’art. 4 della legge n. 300 disciplina in modo differenziato gli strumenti audiovisivi impiegati dal datore di lavoro (i.e., titolare del trattamento), a seconda delle finalità per le quali vengono utilizzati.
Di seguito si riporta il testo dell’Art. 4 – (Impianti audiovisivi e altri strumenti di controllo)
1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale.
((In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell’Ispettorato nazionale del lavoro. I provvedimenti di cui al terzo periodo sono definitivi.))
2. La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.
3. Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196.
A seguito della lettura dell’articolo in parola si evince che la posta elettronica, essendo il tipico mezzo con il quale il dipendente dell’azienda o dell’ente invia e riceve comunicazioni di natura aziendale, rientra nella fattispecie degli strumenti di lavoro disciplinati dal comma secondo dell’art. 4, comma 2, Statuto dei Lavoratori. (di stesso avviso è l’INL, Circolare n. 2/2016)
Anche il Garante ha ricompreso tra gli strumenti di cui al comma 2 dell’art. 4 “il servizio di posta elettronica offerto ai dipendenti (mediante attribuzione di un account personale) e gli altri servizi della rete aziendale”, in aggiunta ai “sistemi e le misure che ne consentono il fisiologico e sicuro funzionamento al fine di garantire un elevato livello di sicurezza della rete aziendale messa a disposizione del lavoratore (ad esempio: sistemi di logging per il corretto esercizio del servizio di posta elettronica (omissis)”.[2]
Si applica, invece, il comma 1 dell’art. 4 per l’utilizzo degli strumenti che consentono al datore di lavoro di controllare l’attività del lavoratore (es. il monitoraggio della posta elettronica), che non sono indispensabili per rendere la prestazione lavorativa; in questo caso è obbligatorio l’accordo con le OO.SS. o l’autorizzazione amministrativa.
Per quanto attiene all’utilizzo dei metadati dell’e-mail (ci si riferisce a quei dati esteriori come giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail la cui conoscenza permette di conoscere in dettaglio il comportamento del lavoratore identificandolo e rivelando informazioni che lo riguardano), il Garante ha stabilito che “sebbene la gestione dei dati esteriori relativi all’utilizzo dei sistemi di posta elettronica, contenuti nella cosiddetta ‘envelope’ del messaggio, e la conservazione degli stessi per un arco temporale limitato, di regola non superiore a sette giorni, si possano considerare necessarie ad assicurare il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica, comprese le essenziali garanzie di sicurezza informatica, la conservazione di tali metadati, per un lasso di tempo più esteso, non può, invece, ricondursi all’ambito di applicazione dell’art., comma 2, della predetta Legge n. 300/1970 (omissis) rientrando, piuttosto, tra gli strumenti funzionali alla tutela dell’integrità del patrimonio informativo del Titolare nel suo complesso, di cui al comma 1 del medesimo art. 4”.[3]
In estrema sintesi il Garante ha stabilito che si applica il comma 2 dell’art. 4 solo se la conservazione dei metadati della posta elettronica è limitata ad un periodo di tempo non superiore a 7 giorni, mentre una conservazione di metadati per un periodo superiore determina l’applicazione delle garanzie di cui al comma 1. 3
Il Provvedimento del 21 dicembre 2023 – Documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” [9978728],[4] fornisce una serie di prescrizioni a carico dei datori di lavoro, pubblici e privati, che per la gestione della posta elettronica utilizzano programmi forniti anche in modalità cloud, utili a prevenire trattamenti di dati in contrasto con la disciplina sulla protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori.
Attraverso questo documento il Garante chiede quindi ai datori di lavoro/titolari del trattamento di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione ad un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore. Periodo considerato congruo, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore.
Qualora il titolare del trattamento per esigenze organizzative e produttive o di tutela del patrimonio anche informativo (in particolare, ad esempio, per specifiche esigenze di sicurezza dei sistemi) avesse necessità di trattare i metadati per un periodo di tempo più esteso, dovranno espletare le procedure di garanzia previste dall’art. 4, comma 1, dello Statuto dei Lavoratori che richiede: l’accordo sindacale o l’autorizzazione dell’ispettorato del lavoro. L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore.
Si rimarca come il mancato rispetto degli adempimenti, elencati ai successivi punti 1- 9 della presente Comunicazione, può comportare, a seconda dei casi, a carico del titolare del trattamento, le seguenti violazioni dei dati personali:
A. Illiceità del trattamento; (art 6 GDPR).
B. Violazione del principio di conservazione; (art. 5.1, lett. e) GDPR).
C. Violazione dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita (Privacy by Design e Privacy by Default); (art. 25 GDPR).
D. Violazione del principio di responsabilizzazione; (art. 24 GDPR).
Gli obblighi a carico del titolare sono, in prima battuta, i seguenti (per ciascun obbligo sono riportati gli Adempimenti, il grado di Priorità e la Funzione aziendale competente ad agire):
[1] 5.2. Principio di necessitàIn applicazione del menzionato principio di necessità il datore di lavoro è chiamato a promuovere ogni opportuna misura, organizzativa e tecnologica volta a prevenire il rischio di utilizzi impropri (da preferire rispetto all´adozione di misure “repressive”) e, comunque, a “minimizzare” l´uso di dati riferibili ai lavoratori (artt. 3, 11, comma 1, lett. d) e 22, commi 3 e 5, del Codice; aut. gen. al trattamento dei dati sensibili n. 1/2005, punto 4)
Dal punto di vista organizzativo è quindi opportuno che:
si valuti attentamente l´impatto sui diritti dei lavoratori (prima dell´installazione di apparecchiature suscettibili di consentire il controllo a distanza e dell´eventuale trattamento);
si individui preventivamente (anche per tipologie) a quali lavoratori è accordato l´utilizzo della posta elettronica e l´accesso a Internet; (13)
si determini quale ubicazione è riservata alle postazioni di lavoro per ridurre il rischio di un loro impiego abusivo.
Il datore di lavoro ha inoltre l´onere di adottare tutte le misure tecnologiche volte a minimizzare l´uso di dati identificativi (c.d. privacy enhancing technologies–PETs ). Le misure possono essere differenziate a seconda della tecnologia impiegata (ad es., posta elettronica o navigazione in Internet).
b) Posta elettronicaIl contenuto dei messaggi di posta elettronica –come pure i dati esteriori delle comunicazioni e i file allegati– riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali; un´ulteriore protezione deriva dalle norme penali a tutela dell´inviolabilità dei segreti (artt. 2 e 15 Cost.; Corte cost. 17 luglio 1998, n. 281 e 11 marzo 1993, n. 81; art. 616, quarto comma, c.p.; art. 49 Codice dell´amministrazione digitale). (14)
Tuttavia, con specifico riferimento all´impiego della posta elettronica nel contesto lavorativo e in ragione della veste esteriore attribuita all´indirizzo di posta elettronica nei singoli casi, può risultare dubbio se il lavoratore, in qualità di destinatario o mittente, utilizzi la posta elettronica operando quale espressione dell´organizzazione datoriale o ne faccia un uso personale pur operando in una struttura lavorativa.
La mancata esplicitazione di una policy al riguardo può determinare anche una legittima aspettativa del lavoratore, o di terzi, di confidenzialità rispetto ad alcune forme di comunicazione.
Tali incertezze si riverberano sulla qualificazione, in termini di liceità, del comportamento del datore di lavoro che intenda apprendere il contenuto di messaggi inviati all´indirizzo di posta elettronica usato dal lavoratore (posta “in entrata”) o di quelli inviati da quest´ultimo (posta “in uscita”).
É quindi particolarmente opportuno che si adottino accorgimenti anche per prevenire eventuali trattamenti in violazione dei principi di pertinenza e non eccedenza. Si tratta di soluzioni che possono risultare utili per contemperare le esigenze di ordinato svolgimento dell´attività lavorativa con la prevenzione di inutili intrusioni nella sfera personale dei lavoratori, nonché violazioni della disciplina sull´eventuale segretezza della corrispondenza.
In questo quadro è opportuno che:
il datore di lavoro renda disponibili indirizzi di posta elettronica condivisi tra più lavoratori (ad esempio, info@ente.it, ufficiovendite@ente.it,ufficioreclami@società.com, urp@ente.it, etc.), eventualmente affiancandoli a quelli individuali (ad esempio, m.rossi@ente.it, rossi@società.com, mario.rossi@società.it);
il datore di lavoro valuti la possibilità di attribuire al lavoratore un diverso indirizzo destinato ad uso privato del lavoratore; (15)
il datore di lavoro metta a disposizione di ciascun lavoratore apposite funzionalità di sistema, di agevole utilizzo, che consentano di inviare automaticamente, in caso di assenze (ad es., per ferie o attività di lavoro fuori sede), messaggi di risposta contenenti le “coordinate” (anche elettroniche o telefoniche) di un altro soggetto o altre utili modalità di contatto della struttura. É parimenti opportuno prescrivere ai lavoratori di avvalersi di tali modalità, prevenendo così l´apertura della posta elettronica. (16)In caso di eventuali assenze non programmate (ad es., per malattia), qualora il lavoratore non possa attivare la procedura descritta (anche avvalendosi di servizi webmail), il titolare del trattamento, perdurando l´assenza oltre un determinato limite temporale, potrebbe disporre lecitamente, sempre che sia necessario e mediante personale appositamente incaricato (ad es., l´amministratore di sistema oppure, se presente, un incaricato aziendale per la protezione dei dati), l´attivazione di un analogo accorgimento, avvertendo gli interessati;
in previsione della possibilità che, in caso di assenza improvvisa o prolungata e per improrogabili necessità legate all´attività lavorativa, si debba conoscere il contenuto dei messaggi di posta elettronica, l´interessato sia messo in grado di delegare un altro lavoratore (fiduciario) a verificare il contenuto di messaggi e a inoltrare al titolare del trattamento quelli ritenuti rilevanti per lo svolgimento dell´attività lavorativa. A cura del titolare del trattamento, di tale attività dovrebbe essere redatto apposito verbale e informato il lavoratore interessato alla prima occasione utile;
i messaggi di posta elettronica contengano un avvertimento ai destinatari nel quale sia dichiarata l´eventuale natura non personale dei messaggi stessi, precisando se le risposte potranno essere conosciute nell´organizzazione di appartenenza del mittente e con eventuale rinvio alla predetta policy datoriale.
[2] cfr. Provv. Garante 13.7.2016, n. 303
[3] cfr. Provv. Garante 1.12.2022, n. 409.
[4] link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9978728
