Lavoro

Posta elettronica aziendale e conservazione limitata dei metadati: tra esigenze e prescrizioni

Disposizioni non solo aggiuntive ma anche parzialmente sovrapponibili e – per certi versi – difficilmente conciliabili con le disposizioni labour, ancora molte le perplessità dopo il vado del Documento di indirizzo emanato dal Garante

Pochi giorni fa il Garante Privacy ha rilasciato un Documento di indirizzo che prescrive a tutti i datori di lavoro di stipulare apposito accordo sindacale per la conservazione dei metadati delle email aziendali oltre i sette giorni. È del 27 febbraio il comunicato che differisce l’efficacia di tale Documento a valle di apposita consultazione pubblica. Di che si tratta?

Il contesto di riferimento: il Documento di indirizzo del Garante Privacy

Con il Documento di indirizzoProgrammi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” del 21 dicembre 2023, pubblicato in data 6 febbraio 2024, il Garante Privacy ha fornito ai datori di lavori specifiche indicazioni per la garanzia del rispetto della vigente normativa in materia di protezione dei dati personali, ulteriori e più stringenti rispetto al consolidato orientamento originariamente sviluppatosi già nel 2007 con le “Linee guida del Garante per posta elettronica e internet”. In particolare, il Garante ha ricordato che l’attività di raccolta e conservazione dei soli c.d. metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica non può essere superiore di norma a poche ore o ad alcuni giorni, in ogni caso non oltre 7 giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore.

Si tratta di una prescrizione ben precisa per le organizzazioni , volta ad evitare la realizzazione di un indiretto controllo a distanza dell’attività dei lavoratori: nel caso in cui i datori di lavoro intendessero procedere alla conservazione dei metadati per più di 7 giorni, sarebbe necessario l’esperimento delle garanzie previste dall’art. 4, comma 1, dello Statuto dei Lavoratori (vale a dire, la stipula di un accordo sindacale o l’autorizzazione dell’Ispettorato Nazionale del Lavoro ), con la conseguenza che, in mancanza di esse, non sarebbe possibile utilizzare le informazioni raccolte, o meglio potrebbe configurarsi un illecito trattamento di dati personali.

Nel suo Documento, l’Autorità non indica un grace period per l’adozione delle nuove prescrizioni - come fatto in precedenza in occasione del provvedimento c.d. Caffeina sul corretto utilizzo di Google Analytics, servizio del noto big player frequentemente impiegato dai siti web per le rilevazione statistiche – ma ciò non toglie che le aziende, già in questi giorni di febbraio, abbiano dato avvio ad una serie di attività, tutte volte ad inquadrare correttamente il flusso di dati in questione, onde evitare di risultare in violazione della normativa data protection o di attrarre un’ispezione. 

In particolare, in base al nuovo Documento del Garante, i datori di lavoro che fanno impiego di programmi e servizi informatici per la gestione della posta elettronica in cloud , dovranno adesso:

• avviare un processo di verifica degli eventuali metadati raccolti dai sistemi informatici impiegati a livello aziendale e delle relative modalità e tempi di conservazione;

• verificare che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti - specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service - consentano al datore di lavoro di modificare le impostazioni di base;

• valutare se limitare il periodo di conservazione o estenderlo, nel caso in cui ciò fosse possibile.

A fronte dei dubbi interpretativi sul concetto di “ metadati ” (alcuni ritengono che tale concetto debba essere reperito nell’ultimo provvedimento sanzionatorio dell’Autorità irrogato nei confronti della Regione Lazio; altri, invece, ritengono non si possa non intendere i log di sistema, cosa differente dai metadati che, invece, costituirebbero contenuto intrinseco del messaggio di posta elettronica), il primo pensiero comune agli operatori del settore è andato alle condizioni di servizio dei programmi citati, nella maggior parte dei casi impostate unilateralmente ed in maniera standard da parte di grandi fornitori (es. Microsoft), che non consentirebbero né una discrezionalità né un intervento del singolo datore di lavoro per la modifica della retention, azione questa che dunque (per evitare di far scattare gli adempimenti giuslavoristici) richiederebbe la dismissione del servizio in luogo della migrazione ad altro fornitore (se tecnicamente idoneo). Laddove, invece, i datori di lavoro volessero estendere il termine di conservazione dei metadati, si renderà necessario:

• determinare un congruo termine di conservazione, nel rispetto del principio di limitazione della conservazione, assicurandosi che al suo spirare i dati vengano effettivamente cancellati dai sistemi;

• effettuare una valutazione d’impatto sul trattamento dei dati personali in oggetto nonché, ove il trattamento si fondi sul legittimo interesse (come del resto previsto dalle citate Linee Guida del 2007) , un c.d. balancing test ;

• valutare se sia opportuno adottare appositi accordi sindacali e/o ricorrere alle autorizzazioni dell’Ispettorato del Lavoro (o aggiornare tale documentazione, ove già presente);

informare in maniera adeguata i propri dipendenti e collaboratori dei trattamenti effettuati in relazione alla posta elettronica aziendale, inclusi i relativi metadati;

• aggiornare in maniera conforme i registri delle attività di trattamento;

• adottare o aggiornare il regolamento per l’utilizzo degli strumenti informatici aziendali.

Un passo indietro: il trattamento dei dati dei dipendenti e i suoi presidi

Le perplessità prodotte dal Documento citato inducono una riflessione sulla consapevolezza delle organizzazioni in ordine al corretto trattamento dei dati dei propri dipendenti.

Il datore di lavoro, infatti, nella gestione del rapporto di lavoro con i suoi dipendenti e collaboratori, non si limita esclusivamente alla raccolta di dati personali (in alcuni casi particolari) per le finalità di gestione delle posizioni lavorative, valutazione delle performance, gestione della retribuzione e dei benefit aziendali, organizzazione degli spazi aziendali e delle attività produttive, ecc. ma, tra le altre cose, procede altresì alla raccolta di dati relativi all’utilizzo di strumenti o applicazioni informatici aziendali da parte degli utenti (tra cui, appunto, i dipendenti). Tale raccolta è giustificata da molteplici scopi, come per esempio dall’esigenza di garantire la sicurezza informatica della società, di tutelare il patrimonio aziendale ed informativo, come anche di consentire alla popolazione aziendale di utilizzare hardware e software societari nell’esecuzione delle proprie mansioni.

Ai sensi dell’articolo 13 del Regolamento UE n. 679/2016 (Regolamento Generale europeo in materia di protezione dei dati personali, altrimenti noto come “GDPR”), anche tale trattamento dovrà essere adeguatamente descritto agli interessati, e ciò sarà possibile mediante il rilascio (o l’aggiornamento) dell’informativa privacy per i dipendenti. Ma non è tutto: la normativa privacy deve essere letta in combinato disposto con quella giuslavoristica , ai sensi della quale (ecco l’articolo 4 dello Statuto dei Lavoratori) se gli strumenti di lavoro possono integrare anche solo la possibilità di controllo a distanza dell’attività dei lavoratori, questi potranno essere installati esclusivamente previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In più, l’articolo 4, come novellato dal c.d. Jobs Act nel 2015, prescrive che le informazioni raccolte mediante detti strumenti sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli, andando quindi ad integrare un adempimento già previsto dal GDPR.

Come fare a correttamente gestire questa evenienza, andando a classificare i sistemi aziendali?

In questi casi, i datori di lavoro sono tenuti a svolgere una mappatura degli strumenti aziendali, al fine di individuarne le funzionalità e le potenzialità di controllo, nonché i trattamenti di dati connessi al loro utilizzo (e, quindi, i relativi periodi di conservazione dei dati): è dall’analisi di tale mappatura, con approccio cross privacy-labour , che sarà possibile cogliere l’effettiva potenzialità degli strumenti e procedere con gli adempimenti del caso che non potranno non includere lo svolgimento della valutazione d’impatto nei casi tipici dell’articolo 35 GDPR. 

Inquadrati i sistemi ed i relativi trattamenti, fermo restando quanto detto sugli obblighi giuslavoristici in caso di ricorrenza di controllo a distanza, il datore di lavoro potrà procedere all’informazione citata dal comma 3 dell’articolo 4 Statuto dei Lavoratori. L’informazione deve essere resa nel modo più completo e trasparente possibile, ossia mediante il rilascio della specifica informativa ex articolo 4, comma 3, Statuto dei Lavoratori, nonché la pubblicazione di apposito regolamento strumenti aziendali e/o analogo disciplinare interno avente ad oggetto le regole di utilizzo e controllo degli strumenti IT e di comunicazione aziendali, che consisterà in un vero e proprio documento aziendale di sintesi della mappatura svolta, esplicativo sulle funzionalità e da guida per il corretto utilizzo degli strumenti stessi. Anche in tale documento, dovranno essere indicati i periodi di conservazione dei dati: il dipendente deve, infatti, essere informato sulla durata della conservazione delle email aziendali e dati alle stesse connessi, nonché sulle modalità di disattivazione della sua casella al momento dell’interruzione del rapporto di lavoro, ma anche sui criteri adottati dall’azienda per il monitoraggio del traffico di rete ai fini di prevenzione da attacchi malevoli o altre condotte illecite poste in essere durante lo svolgimento delle mansioni, e ciò anche al fine di vedere garantita la propria riservatezza in orario lavorativo ed evitata qualsiasi forma di monitoraggio sistematico ingiustificato.

A ciò si aggiungono – è importante ricordarlo – le nuove disposizioni introdotte a seguito dell’entrata in vigore, nell’agosto 2023, del c.d. Decreto Trasparenza (D.Lgs. n. 104/2022), con riferimento ai “ sistemi decisionali e di monitoraggio automatizzati ”, in conformità a cui i datori di lavoro sono tenuti anche a:

• valutare i trattamenti coinvolti in detti sistemi in ottica di privacy by design e by default ai sensi dell’articolo 25 del GDPR e nel rispetto degli articoli 113 e 114 del Codice Privacy che rinviano espressamente agli articoli 4 e 8 dello Statuto dei Lavoratori;

• svolgere l’analisi del rischio e la valutazione di impatto;

• adottare misure di sicurezza adeguate ai sensi dell’art. 32 GDPR;

• prevedere misure di garanzia necessarie ad assicurare la tutela dei diritti e delle libertà degli interessati, nonché i diritti degli interessati – esercitabili anche a mezzo delle rappresentanze sindacali;

• valutare eventuali fornitori che intervengono nel trattamento (es. tool di trattamento).

È interessante notare, a questo riguardo, che dal Decreto Trasparenza – che pur regolamentava in maniera dettagliata l’uso di sistemi informatici e automatizzati tesi al controllo del dipendente – non sembrava emergere chiaramente alcun onere di adozione delle garanzie previste dall’art. 4, comma 1, dello Statuto dei Lavoratori con riferimento alla raccolta e conservazione di metadati, di cui oggi si parla.

Casi critici ed esigenze dei datori di lavoro

Se, da un lato, lo svolgimento delle citate verifiche e degli adempimenti ai sensi del nuovo Documento di Indirizzo del Garante è tutto volto a garantire diritti e libertà di soggetti collocati in una posizione di subordinazione rispetto a quella del datore di lavoro (appunto, in ragione del rapporto di lavoro sussistente), dall’altro, la raccolta e uso di dati relativi all’utilizzo di strumenti o applicazioni ( nonchè la loro conservazione) spesso assolve a concrete esigenze aziendali di prevenzione e gestione di particolari eventi. 

Si pensi al caso dell’ex dipendente colto da parte degli amministratori di sistema, nel suo periodo di handover prima dell’uscita, a porre in essere una condotta di concorrenza sleale come quella dell’esfiltrazione di segreti commerciali tramite download massivo di dati confidenziali su chiave USB ed invio di documenti riservati alla propria e-mail personale o, peggio, a quella di un competitor: con le dovute premesse sulle corrette modalità di supervisione da parte degli amministratori (vedasi le già citate Linee guida del Garante su posta elettronica aziendale e internet del 2007, sempre attuali in quanto provvedimento “madre” della disciplina di cui oggi di discute), la previsione di un periodo di retention molto breve per i metadati potrebbe tradursi nell’incapacità per il datore di lavoro non solo di accertare, ma anche di provare in giudizio la condotta illecita del suo ex dipendente, o ancor prima una forte limitazione in sede di produzione probatoria per i periti incaricati della rilevazione forense.

Un caso non analogo ma comunque simile si potrebbe altresì presentare, nel contesto di un eventuale giudizio instaurato dal dipendente per mobbing, negli accertamenti resi necessari dalla segnalazione whistleblowing o ancora nell’esigenza di ripristino di documenti presenti nella posta elettronica aziendale ed indisponibili a seguito di data breach. Le ipotesi riportate sono tutte riferite a specifiche esigenze aziendali del tutto distanti dallo scopo del controllo a distanza del lavoratore, oltre che (come detto sopra) in genere supportate dall’impostazione by default del sistema informatico utilizzato. 

Conclusioni

Non c’è dubbio che il recente Documento di indirizzo del Garante abbia indotto una serie di riflessioni – probabilmente anche nell’autorità che ne ha successivamente differito l’efficacia – in quanto andrebbe a prescrivere attività non solo aggiuntive rispetto agli obblighi già previsti dalla normativa privacy, ma anche parzialmente sovrapponibili e – per certi versi – difficilmente conciliabili con le disposizioni labour : nelle more della consultazione pubblica e dunque di conoscere la versione finale, l’occasione di verifica non può che essere colta come opportunità di assessment sui processi e sui documenti vigenti nell’ottica del miglioramento della più ampia compliance aziendale.

______

*A cura di Martina Ortillo – Avvocato, Manager del Dipartimento Data Protection e Cybersecurity di Rödl & Partner, Chiara Benvenuto – Avvocato, Senior Associate del Dipartimento Data Protection e Cybersecurity di Rödl & Partner

Per saperne di piùRiproduzione riservata ©