ENG 
I datori di lavoro, pubblici o privati, che per la gestione della posta elettronica aziendale utilizzano programmi forniti in modalità cloud o as-a-service, dal 6 febbraio scorso devono adeguarsi alle indicazioni del Garante Privacy utili a prevenire i trattamenti di dati in contrasto con la disciplina sulla protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori.
Il Garante per la protezione dei dati personali ha infatti adottato il documento di indirizzo denominato: “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (Registro dei provvedimenti n. 642 del 21 dicembre 2023), pubblicato dall’autorità il 6 febbraio 2024.
A determinare la necessità di adottare il nuovo approccio circa la gestione della posta elettronica in azienda, sono stati gli accertamenti effettuati dall’Autorità.
Come si legge nell’introduzione del documento in esame, infatti, da tali accertamenti è emerso il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori cloud, possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (quali: giorno, ora, mittente, destinatario, oggetto e dimensione dell’email), conservando gli stessi per un esteso arco temporale. Inoltre, tali programmi spesso limitano le possibilità del cliente (datore di lavoro) di modificare le impostazioni di base al fine di disabilitare la raccolta sistematica di tali dati o di ridurne il periodo di conservazione.
Si ricorda che, il contenuto dei messaggi di posta elettronica – al pari dei dati esteriori delle comunicazioni e i file allegati – riguardano forme di corrispondenza assistite da garanzie di segretezza costituzionalmente tutelate (Artt. 2 e 15 Cost.), che proteggono il nucleo essenziale della dignità della persona ed il pieno sviluppo della sua personalità nelle formazioni sociali. Ne deriva che, anche per quei messaggi inviati nel contesto lavorativo sussiste una legittima aspettativa di riservatezza.
In sintesi, il Garante chiede ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti, consentano di modificare le impostazioni di base impedendo la raccolta dei metadati o in alternativa limitandone la conservazione ad un massimo di 7 giorni, estensibili di ulteriori 48 ore in presenza di comprovate e documentate esigenze che giustifichino il prolungamento. Detto lasso temporale, secondo il Garante, è perfettamente congruo ad assicurare il regolare funzionamento della posta elettronica in uso ai dipendenti.
I datori di lavoro a cui risulti indispensabile, per necessità organizzative e produttive ovvero al fine di tutelare il patrimonio anche informavo del titolare (in particolare, ad esempio, per specifiche esigenze di sicurezza dei sistemi), conservare i metadati in questione per un lasso di tempo maggiore di quello di cui sopra dovranno espletare le procedure di garanzia previste dall’art. 4, c.1 dello Statuto dei lavoratori, e dunque pervenire ad un accordo sindacale oppure ottenere l’autorizzazione da parte dell’ispettorato del lavoro.
Diversamente, la condotta del datore sarà da considerarsi in contrasto con la normativa in materia di protezione dei dati personali e con la disciplina sui controlli a distanza, con conseguenti responsabilità sul piano sia amministrativo che penale.
