Sta suscitando vivace dibattito il Provvedimento del Garante per la protezione dei dati personali n. 642 del 21 dicembre 2023, recentemente pubblicato nel Notiziario dell’Autority (v. Newsletter n. 517 del 6 febbraio 2024).
Con il provvedimento citato, il Garante della privacy ha, infatti, adottato il documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (all. n. 1).
Nell’ambito di accertamenti condotti con riguardo ai trattamenti di dati personali effettuati nel contesto lavorativo il Garante ha infatti rilevato il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere, per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email), conservando gli stessi per un esteso arco temporale; ciò talvolta ponendo, altresì, limitazioni al cliente (datore di lavoro) in ordine alla possibilità di modificare le impostazioni di base del programma informatico al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi.
Per tale motivo, il Garante ha adottato il provvedimento in esame, con il quale ha fornito specifiche indicazioni ai datori di lavoro pubblici e privati chiamati ad adottare le misure necessarie a conformare i propri trattamenti di dati personali alla disciplina di protezione dati e a quella di settore.
In particolare, si rende per questi necessario verificare con la dovuta diligenza che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service – consentano al cliente (ovvero, allo stesso datore di lavoro) di modificare le impostazioni di base, impedendo la raccolta dei predetti metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di sette giorni, estensibile di ulteriori 48 ore.
Diversamente, in qualità di titolari del trattamento, i datori di lavoro dovranno, alternativamente, nel caso in cui i trattamenti di dati personali in questione si dovessero comunque rendere necessari per il perseguimento di esigenze organizzative o produttive, espletare le procedure di garanzia previste dalla disciplina di settore (art. 4 della l. 300/1970) o cessare l’utilizzo di tali programmi e servizi informatici.
In particolare, dovrà quindi essere sempre verificata dai datori di lavoro “la sussistenza dei presupposti di liceità stabiliti dall’art. 4 della l. 20 maggio 1970, n. 300, cui fa rinvio l’art. 114 del Codice, nonché il rispetto delle diposizioni che vietano al datore di lavoro di acquisire e comunque trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata (art. 8 della l. 20 maggio 1970, n. 300 e art. 10 d.lgs. 10 settembre 2003, n. 276, cui fa rinvio l’art. 113 del Codice)”.
Il Documento in commento precisa altresì che ulteriore adempimento posto in capo dei datori di lavoro è, in ogni caso, quello di assicurare la necessaria trasparenza nei confronti dei lavoratori, fornendo agli stessi una specifica informativa sul trattamento dei dati personali prima di dare inizio allo stesso, come previsto dal Regolamento.
Ciò anche tenuto conto del fatto che l’adempimento degli obblighi informativi nei confronti dei dipendenti (consistenti nella “adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli”) costituisce una precondizione per il lecito utilizzo dei dati raccolti attraverso strumenti tecnologici, da parte del datore di lavoro, anche a tutti i fini connessi al rapporto di lavoro (art. 4, co. 3, della l. n. 300/1970 e ss.mm.).
Sulla questione insorta a seguito del provvedimento del Garante privacy è già nel frattempo intervenuta anche la Ministra del lavoro e delle politiche sociali, dott.ssa Marina Calderone, per assicurare che il suo Dicastero sta cercando di individuare una corsia semplificata con l’Ispettorato del lavoro per consentire alle aziende di adempiere ai predetti obblighi senza troppe complicazioni.