M

Questo sito fa uso di cookie tecnici per migliorare l’esperienza di navigazione degli utenti e per raccogliere informazioni sull’utilizzo del sito stesso. Per maggiori informazioni si veda la Cookie Policy.

Casella postale dei dipendenti: il nuovo documento di indirizzo del Garante Privacy

Con provvedimento del 21 dicembre 2023, denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, il Garante ha ritenuto di fondamentale importanza fornire delle direttive utili sia per i datori di lavoro che per i fornitori di programmi e servizi informatici in modalità cloud, circa il trattamento dei metadati relativi all’account di posta elettronica in uso ai dipendenti.

Tale decisione è stata dettata da una serie di accertamenti effettuati dall’Autorità Garante, nel corso dei quali è emerso il rischio che programmi e servizi informatici per la gestione della posta elettronica in modalità cloud possano raccogliere i metadati relativi alle e-mail dei dipendenti (ad esempio giorno, ora, mittente, destinatario, oggetto e dimensione della mail) per impostazione predefinita, in modo preventivo e generalizzato, per un esteso periodo di tempo, senza neppure la possibilità per il datore di lavoro di modificare le relative impostazioni al fine di ridurre la raccolta sistematica dei dati o il periodo di conservazione.

Innanzitutto, il Garante ha ricordato che il contenuto dei messaggi di posta elettronica costituisce una forma di corrispondenza costituzionalmente garantite, in quanto espressione della dignità della persona e del pieno sviluppo della sua personalità nelle formazioni sociali. Pertanto, la segretezza di tale corrispondenza deve essere garantita anche nell’ambito lavorativo e non può mai venir meno di fronte agli interessi datoriali. Questi ultimi però, rivestono anch’essi una rilevanza costituzionale nel nostro ordinamento a pertanto meritano adeguata tutela.

Dalla necessità di garantire la tutela di due interessi costituzionalmente garantiti, quello datoriale e quello del dipendente, sono stati individuati dei punti di incontro tra gli stessi che ne consentono un adeguato bilanciamento.

Tali punti di incontro sono costituiti dai presupposti e condizioni alle quali il datore di lavoro può effettivamente trattare i dati relativi alla casella di posta elettronica del dipendente:

Liceità ex art. 5 par 1, lett. a) GDPR

Il Titolare potrà trattare i dati relativi alla casella di posta elettronica del dipendente, tramite programmi e strumenti informatici in modalità cloud, a condizione che i dati siano trattati in modo lecito, corretto e trasparente;

Artt. 4 e 8 dello Statuto dei Lavoratori

Lo Statuto dei Lavoratori vieta al datore di lavoro di trattare informazioni non rilevanti ai fini dell’attitudine professionale del lavoratore o comunque afferenti alla sua vita privata. Inoltre, vengono indicate le esatte finalità (organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale) per le quali gli strumenti di controllo a distanza possono essere impiegati, stabilendo anche la necessità di un accordo sindacale o di un’autorizzazione pubblica;

Tempo di trattamento dei metadati e principio di limitazione della conservazione dei dati

Attese le specifiche finalità indicate nello Statuto dei Lavoratori, l’attività di raccolta e conservazione dei metadati deve essere conforme al raggiungimento di tali obiettivi e il Garante ha individuato con precisione la durata di un simile trattamento, che non può essere superiore a poche ore o pochi giorni e comunque non oltre sette giorni, estensibili per ulteriori 48 ore in presenza di comprovate e documentate esigenze;

Informativa chiara e trasparente

Il Titolare deve adottare tutte le misure previste in materia di protezione dei dati personali e deve soprattutto fornire agli interessati una chiara rappresentazione del complessivo trattamento;

Principio di responsabilizzazione e di privacy by design e by default

Il Titolare deve valutare se le tecnologie impiegate possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Sul punto, il Garante ha precisato che: “[…] tale necessità ricorre, in particolare, in caso di raccolta e memorizzazione dei metadati relativi all’impiego della posta elettronica, stante la particolare “vulnerabilità” degli interessati nel contesto lavorativo, nonché il rischio di “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti”.

Alla luce di tali indicazioni, il trattamento dei metadati relativi alla e-mail del lavoratore sarà illecito:

qualora manchino i requisiti di cui agli artt. 4 e 8 dello Statuto dei lavoratori (finalità specifiche e accordo sindacale);
in caso di violazione del principio di limitazione della conservazione. Il periodo di conservazione dei metadati non è conforme al raggiungimento della specifica finalità prevista per legge;
nell’ipotesi di violazione dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita e di responsabilizzazione che si rileva ove il trattamento dei metadati venga effettuato per impostazione predefinita e per un tempo indeterminato.

Infine, il Garante ha individuato anche i comportamenti che il Titolare dovrà tenere per evitare di porsi in contrasto con la normativa privacy imponendo in capo allo stesso i seguenti obblighi:

verificare con la dovuta diligenza che i programmi e i servizi relativi alla posta elettronica del dipendente e in modalità cloud consentano di apportare modifiche volte a impedire la raccolta dei metadati e che consentano la conservazione dei dati per il periodo consentito;
espletare le procedure previste dallo Statuto dei Lavoratori;
fornire specifica informativa ai lavoratori, che affronti anche il tema dei metadati.

Il Garante, dunque, ha posto degli specifici obblighi in capo ai Titolari, i quali dovranno prestare una particolare attenzione alla gestione delle e-mail dei propri dipendenti e conformarsi ai precetti dell’autorità quanto prima possibile, al fine di evitare la comminazione di pesanti e ingenti sanzioni.

Data di pubblicazione
12.02.2024

Iscrizione Newsletter

Share