Dipendenti e conservazione dei metadati: le nuove direttive del Garante tra adempimenti data protection e di diritto del lavoro
Con Provvedimento del 21 dicembre 2023 (Registro dei provvedimenti n. 642 del 21 dicembre 2023) il Garante per la protezione dei dati personali ha adottato un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”: si tratta di un atto a mezzo del quale il Garante può fornire, come previsto dall’articolo 154-bis del D.Lgs. 196/2003 e s.m.i. (il “Codice Privacy”), delle linee guida in merito alle misure organizzative e tecniche di attuazione dei principi del Regolamento UE 679/2016 (il “GDPR”), anche per singoli settori, in applicazione dei principi di cui all’articolo 25 del GDPR (privacy by design e by default).
Si tratta, pertanto, di indicazioni di portata generale, destinate, in questo caso, ai datori di lavoro pubblici e privati e ai fornitori delle soluzioni software per la gestione della posta elettronica aziendale. I datori di lavoro sono tenuti a adeguarsi tempestivamente, in quanto il provvedimento sembrerebbe già applicabile, senza prevedere un grace period funzionale all’adeguamento (***si veda la nota di aggiornamento del 27 febbraio 2024 in calce al presente articolo), come lascia intendere anche il passaggio in cui si precisa che “…nelle more dell’eventuale espletamento delle procedure di garanzia” i “metadati non possono comunque essere utilizzati (cfr. art. 2-decies del Codice Privacy)”.
Il documento di indirizzo tiene peraltro conto tanto delle norme del GDPR, che di quelle del Codice Privacy e della L. 20 maggio 1970, n. 300 (lo “Statuto dei Lavoratori”) nonché della “vulnerabilità degli interessati nel contesto lavorativo”.
Il punto di partenza: la raccolta e la conservazione dei metadati
Dall’analisi effettuata dal Garante, che ha preso spunto, tra le altre cose, da alcune attività ispettive e dalle conclusioni raggiunte in provvedimenti sanzionatori (tra tutti, l’Ordinanza di ingiunzione nei confronti di Regione Lazio – 1 dicembre 2022, Registro dei provvedimenti n. 409 del 1 dicembre 2022[1]), è emerso che alcuni sistemi di gestione della posta elettronica (i) raccolgono per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti, (ii) conservando gli stessi per un esteso arco temporale. Ciò talvolta ponendo, in aggiunta, limitazioni al fruitore dei propri servizi in ordine alla possibilità di modificare le impostazioni di base dell’applicativo di posta al fine di disabilitare tale raccolta sistematica o ridurre il periodo di conservazione di queste informazioni.
Per “metadati” il documento di indirizzo della Autorità sembrerebbe intendere “giorno, ora, mittente, destinatario, oggetto e dimensione dell’email”.
Leggendolo congiuntamente alla Ordinanza di ingiunzione nei confronti di Regione Lazio, che tratta appunto di un caso di conservazione e utilizzo di tali metadati nel contesto di una verifica interna sul personale dell’ente sanzionato, si desume che si tratti di tutti quei “dati esteriori relativi all’utilizzo dei sistemi di posta elettronica, contenuti nella cosiddetta “envelope” del messaggio” e quindi del “traffico di posta che il sistemista può vedere si [fa riferimento ai] dati a contorno come […] il giorno, l’ora, il mittente, il destinatario, l’oggetto e la dimensione dell’email stessa” per disporre del quale “non si accede né ai computer del personale né tantomeno alla loro casella di posta”. Informazioni come la presenza di allegati, invece, sarebbero desumibili dalla “dimensione dell’e-mail stessa”. Ciò porterebbe ad escludere, dal campo di applicazione del documento, le informazioni come data e ora di invio, mittente e destinatario delle e-mail contenute all’interno delle e-mail/degli scambi di mail, in quanto, come anche nel caso del Provvedimento avverso la Regione Lazio, il focus è sulla conservazione all’interno di sistemi che prescindano dall’accesso alle caselle del personale e al contenuto degli scambi.
Il fatto, inoltre, che tale conservazione sia attuata di default dai provider più diffusi sul mercato, ai quali non è sempre possibile richiedere delle personalizzazioni (di stampo tecnico o di natura legale), non esime i datori di lavoro-titolari dal verificare, anche avvalendosi del supporto del Responsabile della protezione dei dati (“RPD” o “DPO”), ove designato, della conformità degli applicativi ai principi applicabili al trattamento dei dati, accertandosi, ad esempio, che siano disattivate le funzioni che non sono compatibili con le finalità del trattamento o che si pongono in contrasto con specifiche norme di settore previste dall’ordinamento, specie in ambito lavorativo, commisurando adeguatamente anche i tempi di conservazione dei dati.
Questa raccolta sistematica si traduce infatti in un trattamento di dati personali che, come tutti i trattamenti, deve essere realizzato in presenza di condizioni di liceità e assistito da idonee misure di sicurezza, tecniche e organizzative: trattandosi di dati afferenti a dipendenti, tra l’altro, si aggiungono (i) la presenza di “interessati vulnerabili” (per cui non tutte le possibili basi giuridiche possono considerarsi applicabili, come ad esempio accade per il consenso) nonché (ii) le ulteriori tutele nazionali poste dall’ordinamento, come quelle previste dallo Statuto dei Lavoratori e, in particolare, dalle norme in materia di controlli a distanza.
Dal combinato delle norme in materia di protezione dei dati e di quelle a tutela dei lavoratori (in particolare, l’articolo 4 dello Statuto dei Lavoratori, il quale a propria volta richiama la normativa in materia di protezione dei dati), il Garante fornisce quindi delle indicazioni operative per i datori di lavoro, titolari del trattamento dei metadati afferenti all’uso della posta elettronica da parte del proprio personale.
Come si devono adeguare i datori di lavoro?
In primo luogo, dovranno verificare l’effettiva conservazione, all’interno dei software per la gestione della posta elettronica aziendale (o di altre funzionalità dei propri gestionali aziendali) di metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti. Appurato che ciò effettivamente avviene, dovranno verificare (i) quali siano, al momento, le tempistiche effettive di conservazione e (ii) la ratio di tale retention definita dal titolare, in autonomia o con il supporto del proprio amministratore di sistema, sia esso interno o esterno (es. necessità di cybersecurity, flussi operativi, ecc.).
Ove tale conservazione sussista e non superi i 7 (o 9, in caso di comprovate e documentate esigenze [2]) giorni o sia possibile, senza particolari ostacoli in termini di sicurezza dei sistemi e operatività, ridurre in breve tempo la conservazione attualmente impostata in questi termini, il datore di lavoro potrà ritenersi in linea con le indicazioni del Garante. L’Autorità ritiene infatti che, entro questi limiti, si tratti di un trattamento “necessari[o] ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica”, il quale, essendo uno “strumento utilizzato dal lavoratore per rendere la prestazione lavorativa”, non richiede l’espletamento delle garanzie ulteriori previste dallo Statuto dei Lavoratori (in virtù dell’art. 4, comma 2, dello Statuto dei Lavoratori) e non comporta particolari rischi per gli interessati.
Resterà ovviamente fermo l’obbligo del datore, in quanto titolare del trattamento dei dati personali afferenti ai propri dipendenti, di precisare anche questa specifica attività di trattamento, nonché la relativa finalità e base giuridica, all’interno delle proprie informative destinate al personale.
Laddove, invece, la conservazione abbia luogo e il datore abbia delle esigenze, di sicurezza, tecniche e/o operative che richiedano una conservazione più estesa dei 9 giorni massimi indicati dal Garante, non si potrà più considerare tale retention come funzionale al mero utilizzo dell’applicativo di posta elettronica: pertanto, i sistemi che conservano i metadati relativi alle comunicazioni e-mail ricadranno (così come accade con le videocamere destinate alla videosorveglianza) tra gli “strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori”.
Di conseguenza, si dovranno applicare tutte le garanzie previste dall’articolo 4, comma 1, dello Statuto dei Lavoratori per questa tipologia di strumenti (garanzie che costituiranno anche una tutela data protection per i lavoratori quali interessati “vulnerabili”):
1) ci si dovrà assicurare che le finalità d’uso di tali informazioni siano correlate esclusivamente a “esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale”; e
2) si dovrà procedere, a seconda dei casi, con un accordo sindacale (con RSU, RSA o, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, con le associazioni sindacali comparativamente più rappresentative sul piano nazionale) o, in mancanza di accordo o di rappresentanze, con la richiesta di autorizzazione da parte della sede territoriale dell’Ispettorato nazionale del lavoro o, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell’Ispettorato nazionale del lavoro.
In aggiunta, tenendo conto degli obblighi previsti dal GDPR (in particolare, di trasparenza, nonché di integrità, riservatezza e accountability) i datori dovranno premurarsi di:
- (come per il primo caso) fornire idonea informativa ai dipendenti prima di dare inizio al trattamento, con adeguato dettaglio sulle finalità del trattamento (che dovranno necessariamente rientrare tra quelle di cui all’art. 4 dello Statuto dei Lavoratori) e sulla base giuridica prescelta;
- valutare, con il supporto del proprio DPO, ove designato, l’opportunità di effettuare una Data Protection Impact Assessment(“DPIA”), tenuto conto della vulnerabilità degli interessati, nonché dei possibili rischi, correlati al controllo della prestazione lavorativa, che deriverebbero dallo stoccaggio esteso dei metadati relativi all’uso della posta elettronica da parte del datore; e
- garantire, in ogni caso, il rispetto del principio di “limitazione della conservazione” (art. 5 par. 1 lett e) GDPR), definendo un termine di conservazione proporzionale agli scopi perseguiti.
Oltre a fornire specifiche indicazioni, legali e tecniche, in merito al trattamento dei metadati relativi all’utilizzo dei software per la gestione della posta elettronica aziendale, il Garante ricorda alcune cautele da adottare, più in generale, con i cloud provider, tra cui rientrano anche i fornitori dei servizi di posta elettronica, richiamando il documento “Coordinated Enforcement Action, use of cloud-based services by the public sector” (adottato dall’European Data Protection Board il 17 gennaio 2023). In tale documento è infatti possibile rinvenire le raccomandazioni del Comitato dei Garanti Europei per le Pubbliche Amministrazioni che intendono avvalersi di soluzioni cloud che, si ritiene, possono rappresentare degli utili input, con i dovuti adattamenti, anche per le aziende del settore privato.
Tra le raccomandazioni più significative, segnaliamo che l’EDPB invita gli utilizzatori dei servizi offerti dai cloud service provider (CSP) ad assicurarsi che:
- siano determinati in modo chiaro e inequivocabile i ruoli dei soggetti coinvolti negli accordi sottoscritti;
- il CSP operi in qualità di responsabile del trattamento, agendo sempre seguendo le istruzioni impartite dal titolare;
- sia possibile opporsi alla nomina di ulteriori sub-responsabili, esaminando in particolare (i) le procedure dei CSP relative all’aggiornamento dei sub-responsabili specifici coinvolti nelle attività di trattamento, (ii) i criteri per la nomina di nuovi/altri sub-responsabili e (iii) in quali circostanze sia possibile esercitare il diritto di opposizione ai sensi dell’articolo 28, paragrafo 2, del GDPR;
- venga garantito il coinvolgimento effettivo del DPO;
- vengano individuati i trasferimenti che possono avvenire nel contesto della fornitura dei servizi e quelli relativi al trattamento dei dati personali per finalità proprie del CSP, in modo tale da garantire il rispetto delle disposizioni previste dal Capo V del GDPR;
- le procedure di procurement interne prevedano la verifica di tutti i requisiti necessari per garantire la conformità al GDPR, preferibilmente prima della contrattualizzazione dei provider.
Cosa succede in caso di mancato adeguamento?
Il Garante, infine, ricorda le possibili responsabilità per i datori di lavoro pubblici e privati in caso di mancato rispetto delle disposizioni di cui al documento di indirizzo, quali:
- illiceità del trattamento in assenza dell’espletamento delle procedure di garanzia di cui all’art. 4 dello Statuto dei Lavoratori e/o in assenza di adeguata informativa (tra l’altro, l’assenza di informativa comporterebbe anche, ai sensi dell’art. 4, comma 3 dello Statuto dei Lavoratori, l’inutilizzabilità dei dati raccolti “a tutti i fini connessi al rapporto di lavoro”);
- violazione del principio di limitazione della conservazione ove i tempi di conservazione non siano definiti in maniera proporzionata alle finalità del trattamento;
- violazione dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita, in quanto, il datore di lavoro deve adottare misure che rispettino i principi della protezione dei dati fin dalla progettazione del trattamento e per impostazione predefinita durante l’intero ciclo di vita dei dati;
- infine, nei casi più gravi, conseguenze anche sul piano penale (art. 171 del Codice Privacy).
*** Aggiornamento del 27 febbraio 2024 ***
Il 27 febbraio 2024 il Garante per la protezione dei dati personali ha reso noto di aver deciso di avviare una consultazione pubblica “sulla congruità del termine di conservazione dei metadati degli account dei servizi di posta elettronica dei lavoratori” e, più in generale, “sulle forme e modalità di utilizzo che renderebbero necessaria una conservazione dei metadati superiore a quella ipotizzata nel documento di indirizzo”.
Inoltre, a fronte delle “numerose richieste di chiarimenti ricevute” in merito alle disposizioni di cui al Documento di indirizzo, l’Autorità ha definito di differire l’efficacia dello stesso.
In particolare, come si evince dal “Provvedimento del 22 febbraio 2024 [9987885]”:
“L’efficacia del documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (provv. del 21 dicembre 2023, n. 642, doc. web n. 9978728) viene differita al termine della predetta consultazione pubblica all’esito della quale il Garante si riserva di adottare ulteriori determinazioni o, in caso di mancata adozione di ulteriori determinazioni, al sessantesimo giorno successivo la scadenza del termine per la presentazione dei contributi richiesti nell’ambito della consultazione medesima.”
La pubblicazione del Documento di indirizzo ha sollevato non pochi dubbi e perplessità, soprattutto in un contesto in cui una sempre maggiore attenzione alla cybersecurity aziendale ha reso i metadati un utile strumento di monitoraggio rispetto a possibili falle di sicurezza o intrusioni esterne. Ci aspettiamo quindi che la consultazione pubblica e le eventuali determinazioni che l’Autorità vorrà adottare possano contribuire a trovare un equilibrio tra le esigenze operative e di sicurezza e quelle di tutela dei lavoratori.
Nel frattempo, il differimento dell’efficacia di queste nuove regole sarà sicuramente accolto dalle aziende con un sospiro di sollievo.
[1] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9833530.
[2] Al riguardo vedasi i provv. ti del Garante nn. 303 del 13 luglio 2016, doc. web n. 5408460; 1° febbraio 2018, n. 53, doc. web n. 8159221; 29 ottobre 2020, n. 214, doc. web n. 9518890; 29 settembre 2021, n. 353, doc. web n. 9719914).