Il 16 marzo 2024 il Garante Privacy ha pubblicato in Gazzetta Ufficiale un avviso di avvio di una consultazione pubblica al fine di ottenere un parere sulla congruità del tempo di conservazione dei metadati relativi agli account di posta elettronica in uso ai dipendenti raccolti automaticamente dai protocolli di trasmissione e di smistamento della posta elettronica.

Con il provvedimento del 21 dicembre 2023 e il documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” il Garante Privacy ha stabilito che un termine congruo per la conservazione dei metadati quali data, ora, mittente, oggetto, destinatario relativo agli account di posta elettronica in uso ai dipendenti è di 7 giorni prorogabile di ulteriori 48 ore per comprovate e documentate esigenze.

Un termine di conservazione maggiore comporterebbe il rischio di un potenziale controllo a distanza dei dipendenti e l’obbligo quindi di attivare la procedura di garanzia prevista dall’art. 4 L. 300/70 (“Statuto dei Lavoratori”).

L’art. 4 L. 300/70 stabilisce le finalità per le quali è possibile installare nei luoghi di lavoro sistemi dai quali possa derivare un potenziale controllo a distanza dei dipendenti ovvero per:

• esigenze organizzative e produttive;
• tutela del patrimonio aziendale;
• la sicurezza del lavoro

e stabilisce altresì le garanzie da attuare a tutela dei dipendenti ovvero l’installazione è possibile

• previo accordo con le Rappresentanze Sindacali Unitarie/Rappresentanze sindacali Aziendali o in caso di imprese multi localizzate con le organizzazioni sindacali nazionali
• previa autorizzazione della sede territoriale dell’Ispettorato Nazionale del Lavoro o in caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell’Ispettorato Nazionale del Lavoro.

Il comma 2 del medesimo articolo, riscritto alla luce del D.lgs. 151/2015 (il “Jobs Act”) esclude l’applicazione delle predette disposizioni agli strumenti che siano essenziali per lo svolgimento dell’attività lavorativa.

Il provvedimento in esame parrebbe quindi contrastare con l’eccezione contemplata dal citato articolo: invero il Garante parte dal presupposto che l’impiego di programmi e servizi informatici per la gestione della posta elettronica dando luogo a trattamenti di dati personali nell’ambito del rapporto di lavoro di soggetti identificati o identificabili, nel rispetto del principio di accountability, spetta al datore di lavoro in qualità di Titolare del Trattamento verificare la sussistenza di un idoneo presupposto di liceità stante anche la particolare vulnerabilità degli interessati nel contesto lavorativo e il rischio di un monitoraggio dei dipendenti attraverso la raccolta e la conservazione generalizzata dei metadati.

Non solo. Il Garante ritiene, altresì, che una conservazione per lungo tempo dei metadati può comportare una violazione anche dell’art. 8 L. 300/70 potendo il datore di lavoro attraverso questi dati acquisire informazioni relativa alla sfera personale dell’interessato o comunque informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore.

Ad oggi quindi le Aziende sono chiamate a verificare se i fornitori di programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti consentano di modificare le impostazioni predefinite evitando la raccolta dei metadati o comunque limitando il periodo di conservazione per un periodo di 7 giorni estensibile di ulteriori 48 ore in caso di comprovate esigenze. In caso contrario i datori di lavoro dovranno attivare la procedura di garanzia previste dall’art. 4 L. 300/70  o cessare l’utilizzo dei relativi programmi informatici.

Concretamente solo allo scadere del termine di 30 giorni previsti per la consultazione pubblica scopriremo quali nuovi sfide saranno chiamate ad affrontare le Aziende.

Contributo a cura dell’avv. Luisa Chianese