Il Garante Privacy si pronuncia sui presupposti per la conservazione e l’utilizzo dei metadati della posta elettronica dei dipendenti
Con il Provvedimento in commento, il Garante ha fornito indicazioni ai datori di lavoro, sia pubblici che privati, sull'impiego dei programmi e servizi informatici per la gestione della posta elettronica, offerti da fornitori in modalità cloud o as-a-service e sulla corretta gestione dei metadati che questo possono acquisire e memorizzare.
Il Garante nel provvedimento n. 642/2023 (“Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”) declina i presupposti al ricorrere dei quali il trattamento dei metadati attinenti alla casella di posta elettronica dei dipendenti possa dirsi legittimo.
Il provvedimento assume notevole importanza poiché il tema della legittimità del trattamento è affrontato tanto da un punto di vista giuslavoristico quanto dal punto di vista della protezione dei dati personali.
Occorre, in primo luogo, chiarire cosa si intenda per metadati: possono essere così definiti dei marcatori (una sorta di post-it), collegati a un oggetto informatico (immagine, documento, pagina web, brano musicale ecc.), o a una serie di oggetti informatici; e hanno lo scopo di descriverne il contenuto e/o gli attributi. Con riguardo alla posta elettronica, sono considerati metadati giorno; ora; mittente; destinatario; oggetto e dimensione dell’e-mail.
Le direttive fornite ai datori di lavoro per garantire il rispetto della normativa vigente includono:
- Verificare attentamente che i programmi e servizi informatici consentano di personalizzare le impostazioni di base, impedendo la raccolta di metadati o limitandone la conservazione a un massimo di sette giorni, con possibilità di estensione di ulteriori 48 ore in situazioni specifiche. In caso contrario, è necessario considerare la cessazione di tali programmi.
- Nel caso in cui il datore di lavoro ritenga necessaria la conservazione per un periodo superiore a quello sopra indicato (7 giorni al massimo estensibili di ulteriori 48 ore), è obbligatorio avviare le procedure di garanzia previste dall'art. 4 dello Statuto dei Lavoratori, stipulando un accordo sindacale o richiedendo l’autorizzazione dall'Ispettorato del lavoro, poiché una prolungata conservazione potrebbe comportare un indiretto controllo a distanza dell'attività dei lavoratori.
- Assicurare trasparenza nei confronti dei dipendenti, fornendo un'informativa specifica sul trattamento dei dati personali prima di iniziare qualsiasi trattamento.
La duplice valenza giuridica del provvedimento si esprime nella individuazione delle conseguenze ravvisabili laddove fosse riscontrato il mancato rispetto di tali indicazioni: da un lato, si configurerebbe un trattamento illecito dei dati personali; dall’altro lato, una possibile violazione dell’art. 4 dello Statuto dei lavoratori.
Il Garante, pertanto, sottolinea che nelle more dell'adeguamento alle indicazioni fornite nel Provvedimento in esame nonché dell’eventuale espletamento delle procedure di garanzia previste dallo Statuto dei lavoratori, i metadati non possono in alcun modo essere utilizzati.