lunedì, 17 giugno 2024 | 17:37

Garante privacy: aggiornato il documento di indirizzo sulla gestione della posta elettronica nel contesto lavorativo

Fornite nuove indicazioni su programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati (GPDP - provvedimento 6 giugno 2024 n. 364)

Newsletter Inquery


Garante privacy: aggiornato il documento di indirizzo sulla gestione della posta elettronica nel contesto lavorativo

Fornite nuove indicazioni su programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati (GPDP - provvedimento 6 giugno 2024 n. 364)

Le indicazioni contenute nel documento adottato dal Garante relativamente ai tempi di conservazione dei metadati non riguardano i contenuti dei messaggi di posta elettronica (né le informazioni tecniche che ne fanno comunque parte integrante) che rimangono nella disponibilità dell’utente/lavoratore, all’interno della casella di posta elettronica attribuitagli.
Il documento, inoltre, non reca prescrizioni né introduce nuovi adempimenti a carico dei titolari del trattamento ma intende offrire una ricostruzione sistematica delle disposizioni applicabili in tale specifico ambito, alla luce di talune precedenti decisioni dell’Autorità, al solo fine di richiamare l’attenzione su alcuni punti di intersezione tra la disciplina di protezione dei dati e le norme che stabiliscono le condizioni per l’impiego degli strumenti tecnologici nei luoghi di lavoro.
In questa prospettiva l’Autorità intende altresì fornire ai datori di lavoro indicazioni in ordine alla possibilità di trattare tali informazioni per consentire il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica, comprese le essenziali garanzie di sicurezza informatica, senza necessità di attivare la procedura di garanzia prevista dall’art. 4, comma 1, l. 20/5/1970, n. 300, espressamente richiamata dall’art. 114 del Codice.

Controlli a distanza

Il Garante ha precisato che, affinché sia ritenuto applicabile il comma 2 dell’art. 4 della L. n. 300/1970, l’attività di raccolta e conservazione dei soli metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione, può essere effettuata, di norma, per un periodo limitato a pochi giorni; a titolo orientativo, tale conservazione non dovrebbe comunque superare i 21 giorni. L’eventuale conservazione per un termine ancora più ampio potrà essere effettuata, solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente le specificità della realtà tecnica e organizzativa del titolare. Diversamente, la generalizzata raccolta e la conservazione dei log di posta elettronica, per un lasso di tempo più esteso, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta L. n. 300/1970.

Liceità del trattamento

Con riferimento alla liceità del trattamento, il Garante ha precisato in primo luogo che il ricorso a sistemi e soluzioni di gestione e conservazione dei log delle comunicazioni elettroniche può considerarsi rientrante nell’eccezione di cui al comma 2 dell’art. 4, L. n. 300/1970 nei casi, alle condizioni e per le finalità previste.
Profili di illiceità possono poi derivare dall’utilizzo ulteriore dei dati personali, raccolti in assenza delle predette garanzie. Ciò in quanto l’art. 4, comma 3, della L. n. 300/1970 consente di utilizzare, per le finalità connesse alla gestione del rapporto di lavoro, solo le informazioni già lecitamente raccolte nel rispetto delle condizioni e dei limiti previsti dai commi 1 e 2 e, dunque, nei limiti in cui l’originaria raccolta sia stata lecitamente effettuata nonché fornendo una “adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli” nel rispetto di quanto disposto dalla disciplina di protezione dei dati personali.
Inoltre, dagli elementi ricavabili dai dati esteriori della corrispondenza, come l’oggetto, il mittente e il destinatario e altre informazioni che accompagnano i dati in transito, definendone profili temporali (come la data e l’ora di invio/ricezione), nonché dagli aspetti quali-quantitativi anche in ordine ai destinatari e alla frequenza di contatto, è possibile acquisire informazioni riferite alla sfera personale o alle opinioni dell’interessato.
La generalizzata raccolta e la conservazione dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti, per un periodo di tempo esteso, in assenza di idonei presupposti giuridici, può, dunque comportare la possibilità per il datore di lavoro di acquisire, informazioni riferite alla sfera personale o alle opinioni dell’interessato e quindi non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore.

Principio di correttezza e trasparenza

Tutti i titolari del trattamento sono chiamati a verificare che la raccolta e la conservazione dei log avvengano nel rispetto dei principi di correttezza e trasparenza nei confronti dei lavoratori e che i lavoratori siano stati adeguatamente informati sul trattamento dei dati personali relativi alle comunicazioni elettroniche che li riguardano.
A questo proposito è essenziale che gli interessati siano resi pienamente consapevoli delle complessive caratteristiche del trattamento (specificando i tempi di conservazione dei dati, gli eventuali controlli, ecc.).

Principio di limitazione della conservazione

I tempi di conservazione dei metadati devono in ogni caso essere proporzionati rispetto alle legittime finalità perseguite. In particolare, finalità connesse alla sicurezza informatica e alla tutela del patrimonio informatico giustificano la conservazione dei metadati per un arco temporale congruo rispetto all’obiettivo di rilevare e mitigare eventuali incidenti di sicurezza, adottando tempestivamente le opportune contromisure. Ove i tempi di conservazione non siano definiti in maniera proporzionata alle finalità del trattamento, il titolare del trattamento può incorrere nella violazione del principio di “limitazione della conservazione”.

Principi di protezione dei dati fin dalla progettazione e per impostazione predefinita e principio di responsabilizzazione

Il datore di lavoro deve, altresì, adottare misure volte ad assicurare il rispetto dei principi della protezione dei dati fin dalla progettazione del trattamento e per impostazione predefinita durante l’intero ciclo di vita dei dati, incorporando nel trattamento le misure e le garanzie adeguate ad assicurare l’efficacia dei principi di protezione dei dati, dei diritti e delle libertà degli interessati e facendo in modo che venga effettuato per impostazione predefinita solo il trattamento strettamente necessario per conseguire la specifica e lecita finalità, anche con riguardo al periodo di conservazione dei dati, in tutte le fasi della progettazione delle attività di trattamento, compresi gli appalti, le gare di appalto, l’esternalizzazione, lo sviluppo, il supporto, la manutenzione, il collaudo, la conservazione, la cancellazione ecc.
Inoltre, considerando che sul titolare del trattamento, in quanto soggetto sul quale ricadono le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati, grava una “responsabilità generale” sui trattamenti posti in essere i trattamenti in questione possono comportare anche la violazione del principio di “responsabilizzazione”, in base al quale il titolare è tenuto a rispettare i principi di protezione dei dati e deve essere in grado di comprovarlo. Ciò anche con riguardo alle adeguate misure tecniche e organizzative messe in atto al fine di garantire il rispetto della disciplina in materia di protezione dei dati e di quella di settore eventualmente applicabile.
Il titolare del trattamento, anche quando utilizza prodotti o servizi realizzati da terzi, deve verificare, anche avvalendosi del supporto del Responsabile della protezione dei dati, ove designato, la conformità ai principi applicabili al trattamento dei dati adottando, nel rispetto del principio di responsabilizzazione, le opportune misure tecniche e organizzative e impartendo le necessarie istruzioni al fornitore del servizio. Il titolare del trattamento deve quindi accertare che siano disattivate le funzioni che non sono compatibili con le proprie finalità del trattamento o che si pongono in contrasto con specifiche norme di settore previste dall’ordinamento, ad esempio commisurando adeguatamente anche i tempi di conservazione dei dati ovvero chiedendo al fornitore del servizio di anonimizzare i metadati raccolti nei casi in cui non si intenda effettuare una conservazione più prolungata degli stessi.

Iniziative da porre in essere da parte dei datori di lavoro

I datori di lavoro pubblici e privati dovranno adottare le misure necessarie a conformare i propri trattamenti alla disciplina di protezione dati e a quella di settore.
In particolare, spetta al titolare del trattamento verificare che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti - specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service - consentano al cliente (datore di lavoro) di rispettare la disciplina di protezione dei dati.
Le indicazioni contenute documento di indirizzo del Garante devono considerarsi valide anche nel caso in cui, in ambito pubblico, i programmi e servizi informatici in questione siano acquistati mediante le convenzioni/piattaforme che le pubbliche amministrazioni devono o possono utilizzare per l’acquisto di beni e servizi.

Di Chiara Ranaudo

Fonte normativa

  • GPDP - provvedimento 6 giugno 2024 n. 364