Il Garante per la Protezione dei Dati Personali ha reso noto di aver adottato un documento di indirizzo che tuteli la libertà e la dignità dei lavoratori pubblici e privati che si servano della posta elettronica, fornendo delle necessarie indicazioni ai datori di lavoro sull’utilizzo e la conservazione dei metadati dei dipendenti.
L’adozione delle nuove linee guida da parte del Garante Privacy fissa dei termini restrittivi sui tempi di conservazione delle email, rispondendo così anche ai controlli compiuti dall’Autorità e dai quali è emerso l’utilizzo di software di gestione aziendali in grado di raccogliere e monitorare le informazioni oggetto delle conversazioni via posta elettronica.
Vediamo cosa cambierà e cosa comprende il nuovo provvedimento adottato dal Garante.
Come prevedono le linee guida del Garante Privacy
Il Garante della Privacy ha reso nota l’adozione del provvedimento n. 642 del 21 dicembre 2023, ovvero il documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” e che garantirà la tutela dei dati dei dipendenti appartenenti al settore pubblico e privato.
Le linee guida intendono fissare dei paletti, vere e proprie modalità restrittive, sulle condizioni di gestione della posta elettronica dei lavoratori da parte del proprio datore.
Lo scopo è quello di scongiurare problemi gestionali e rischi organizzativi in seno alle imprese che affidano i propri servizi informatici a modalità cloud oppure as-a-service, evitando di poter esercitare un controllo indiretto e a distanza dell’attività svolta dal dipendente.
Si tratta, infatti, di programmi e software utilizzati tanto nel settore della Pubblica Amministrazione, quanto in quello privato, che possono conservare i metadati dei dipendenti: stiamo parlando di tutti quegli elementi ed indicazioni che consentono di risalire al messaggio di posta elettronica e al suo contenuto.
Informazioni come giorno, ora, mittente, destinatario, ma anche oggetto, allegati e dimensione dell’email dovranno seguire la disciplina sulla protezione dei dati.
Stando alle nuove regole varate dal Garante per la Protezione dei Dati Personali, il dipendente ha il diritto alla completa riservatezza del contenuto delle email e per questa ragione il datore di lavoro pubblico o privato che sia dovrà:
- adeguare le impostazioni di base dei programmi informatici in uso ai dipendenti;
- impedire la raccolta dei metadati;
- ove raccolti, limitare il periodo di conservazione a un massimo di 7 giorni (per particolari esigenze comprovate, possono essere prorogati per altre 48 ore).
“I datori di lavoro che per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare (in particolare, ad esempio, per specifiche esigenze di sicurezza dei sistemi) avessero necessità di trattare i metadati per un periodo di tempo più esteso, dovranno espletare le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro)” – è quanto si apprende dalla nota trasmessa dal Garante.
I metadati potranno essere trattenuti per un periodo superiore da parte del datore esclusivamente per alcuni tipi di esigenze speciali, come quelle di sicurezza, ma comunque dovranno essere attivate secondo le procedure descritte all’art. 4 dello Statuto dei lavoratori.
La norma è stata riscritta nel 2015 e consente ai datori di poter ricorrere a strumenti di controllo della prestazione solo per alcune finalità (ovvero, produttive, organizzative oppure di tutela del patrimonio aziendale) e previo accordo sindacale o, in assenza, autorizzazione da parte dall’Ispettorato del lavoro.
In caso di inottemperanza delle attività di adeguamento e aggiornamento, così come delle regole dettate, il datore potrà incorrere in sanzioni di natura penale ma anche amministrativa.
Le problematicità
Il Garante ha imposto ai datori di lavoro del settore pubblico e privato di dover cancellare i metadati dei dipendenti dopo 7 giorni, ritenendo che il lasso di tempo possa ritenersi congruo poiché non ostacolerebbe la prestazione di lavoro, ma anche perché non possono considerarsi “strumenti di lavoro” per i quali sia necessario sottostare alle procedure autorizzative richieste dallo Statuto dei lavoratori.
E’ discutibile, quindi, la presa di posizione adottata poichè appare del tutto anacronistica rispetto alle attività di lavoro che si muovono di pari passo con la rivoluzione digitale.
Senza considerare che la raccolta e la conservazione integrale delle email e delle relative informazioni hanno una rilevanza significativa per le imprese in termini probatori e di gestione delle attività.
Si pensi infatti che per la maggioranza dei contenziosi il termine di prescrizione è di 10 anni, per cui sarebbe impossibile prevedere la cancellazione dei dati prima di un simile periodo. E’ il caso delle cause sorte per mobbing ma anche per demansionamento del dipendente.
Il rischio è che il provvedimento resti del tutto inapplicato poichè richiederebbe alle aziende e alla Pubblica Amministrazione l’adozione di una sequela di adempimenti gravosi, tra cui aggiornare le informative di privacy; valutarne l’impatto sui diritti fondamentali; compiere attività di analisi e bilanciamento degli interessi; investire in nuovi programmi di conservazione dei dati e così via.