Il provvedimento del Garante Privacy del 21 dicembre u.s. fornisce indicazioni ai datori di lavoro pubblici e privati (e agli altri soggetti a vario titolo coinvolti) finalizzate a prevenire iniziative e trattamenti di dati in contrasto con la disciplina in materia di protezione degli stessi, in relazione alla gestione dei messaggi di posta elettronica dei lavoratori con modalità cloud.
Il Provvedimento nasce con l’intento di prevenire il rischio che programmi e servizi informatici utilizzati dai datori di lavoro per la gestione della posta elettronica, forniti da soggetti terzi in modalità cloud, possano raccogliere, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti, conservando gli stessi per un periodo troppo esteso.
Il Garante ricorda che il contenuto dei messaggi di posta elettronica – così come i dati esteriori delle comunicazioni e i file allegati – sono forme di corrispondenza assistite da garanzie di segretezza, tutelate anche costituzionalmente e per le quali sussiste, anche nel contesto lavorativo pubblico e privato, una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza.
Poiché l’utilizzo di programmi e servizi informatici in modalità cloud genera trattamenti di dati personali, riferiti a interessati identificati o identificabili nel contesto lavorativo, il datore di lavoro – in qualità di titolare del trattamento – è tenuto a verificare la sussistenza di un idoneo presupposto di liceità prima di effettuare tali trattamenti; nello specifico, deve sempre verificare la sussistenza dei presupposti di liceità stabiliti dall’articolo 4 dello Statuto dei lavoratori.
Secondo il Garante, essendo la norma di natura eccezionale, consente di usare gli strumenti di controllo a distanza, senza preventivo accordo sindacale o senza autorizzazione amministrativa, solo se servono alla «registrazione degli accessi e delle presenze» oppure sono necessari allo «svolgimento della prestazione».
In questa ultima nozione va inclusa solo l’attività di raccolta e conservazione dei cosiddetti metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica (per un tempo di poche ore o giorni), mentre non vi rientra la generalizzata raccolta e conservazione di tali metadati che, quindi, può essere svolta comunque nel rispetto dei limiti e condizioni previste dalla norma, ma per un lasso di tempo più esteso di quello sopra riportato.
Oltre a ciò, il titolare del trattamento è tenuto a rispettare i principi generali del trattamento anche con riguardo alla necessità di fornire agli interessati in modo corretto e trasparente una chiara rappresentazione del complessivo trattamento effettuato.
Infine, il provvedimento ricorda che – in attuazione del principio di “responsabilizzazione” – grava sul titolare l’onere di valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche; rischio che renderebbe necessaria una preventiva valutazione di impatto sulla protezione dei dati personali.
Per evitare di incorrere nel meccanismo sanzionatorio previsto per i casi di trattamento illecito dei dati, i datori di lavoro devono, in primo luogo, mettersi in regola con gli adempimenti previsti dalla normativa: aggiornare l’informativa privacy per i dipendenti, eseguire una valutazione di impatto sui diritti fondamentali, eseguire un test di bilanciamento, rivedere la politica di conservazione dei dati.
Per poter allungare il periodo di conservazione dei metadati è necessario attivare il meccanismo previsto dall’articolo 4 dello Statuto dei lavoratori. Questa norma, dopo aver vietato ogni forma di controllo a distanza dei lavoratori, consente di usare sistemi che generano un controllo indiretto solo se tale utilizzo viene espressamente autorizzato da un accordo sindacale. Nel caso in cui non si trovi l’accordo, si può procedere con la richiesta di l’autorizzazione all’Ispettorato del lavoro.
L’accordo non è necessario per alcune tipologie di metadati, ovvero quelle rientranti nella nozione di «strumenti di lavoro». Sono inclusi in questa definizione, secondo il Garante, solo i metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica (per un tempo di poche ore o giorni); un ambito davvero molto ristretto.
Viste le criticità e l’aumento di attività che questa nuova posizione del Garante può generare, è auspicabile – al più presto – un intervento chiarificatore del Ministero del lavoro.
