Premessa

La regolamentazione dell’accesso agli account di posta elettronica aziendali di tipo individualizzato da parte del datore di lavoro è da sempre argomento di dibattito, tanto da suscitare con regolarità l’intervento sia del Garante per la protezione dei dati personali che della giurisprudenza.

Al fine di aiutare i datori di lavoro, in qualità di titolari del trattamento, a comprendere il tipo di trattamento di fatto effettuato nell’ambito della predetta attività, a sviluppare una maggiore consapevolezza delle relative scelte tecniche e organizzative e ad evitare trattamenti di dati in contrasto con la disciplina in materia di protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori, il garante ha individuato delle linee guida per l’attuazione di una gestione dei predetti account rispettosa del Regolamento (UE) 2016/679 del d.lgs. 30 giugno 2003, n. 196 recante.

Lo spunto per l’adozione delle linee guida è stato offerto dai risultati degli accertamenti condotti dal Garante con riguardo ai trattamenti di dati personali effettuati nel contesto lavorativo, a seguito dei quali è stato riscontrato il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere, per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti, conservando gli stessi per un esteso arco temporale.

Trattasi, sostanzialmente, di quei dati tecnici che presentano la caratteristica di essere registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utilizzatore e che nulla hanno a che vedere col contenuto effettivo delle comunicazioni, che rimane sotto il controllo esclusivo dell’utente.

Ne sono esempi: indirizzi email di mittente e destinatario, degli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, degli orari di invio, di ritrasmissione o di ricezione, della dimensione del messaggio, di presenza e dimensione di eventuali allegati e, in certi casi, anche dell’oggetto del messaggio spedito o ricevuto.

Pertanto, il 6 giugno 2024, il Garante per la Protezione dei Dati Personali ha emanato il Provvedimento n. 364, introducendo importanti linee guida per la gestione delle email aziendali e il trattamento dei metadati associati, al fine di garantire la tutela della privacy dei lavoratori e la conformità al Regolamento Generale sulla Protezione dei Dati (GDPR).

Principali Indicazioni del Provvedimento

Limitazione della Conservazione dei Metadati

Il Garante sottolinea che la raccolta e la conservazione generalizzata dei log di posta elettronica per periodi prolungati possono costituire un controllo indiretto sull’attività dei lavoratori. Pertanto, tali pratiche richiedono l’adozione delle garanzie previste dall’art. 4, comma 1, della Legge n. 300/1970.

Configurazione dei Servizi di Posta Elettronica

È emerso che alcuni programmi e servizi di gestione della posta elettronica, specialmente quelli offerti in modalità cloud, raccolgono per impostazione predefinita e in modo generalizzato i metadati degli account dei dipendenti, conservandoli per periodi estesi. Il Garante raccomanda ai datori di lavoro di verificare e, se necessario, modificare, queste impostazioni per evitare raccolte indiscriminate di dati.

Trasparenza e Informazione

I datori di lavoro devono informare chiaramente i dipendenti sulle modalità di gestione delle email aziendali, specificando quali dati vengono raccolti, le finalità del trattamento e i tempi di conservazione.

Sicurezza dei Dati

Devono essere implementate misure tecniche e organizzative adeguate per proteggere i metadati e le comunicazioni da accessi non autorizzati e da possibili violazioni.

Rispetto delle Normative Giuslavoristiche

Qualsiasi attività di monitoraggio deve essere conforme alle disposizioni dello Statuto dei Lavoratori, evitando forme di controllo a distanza non consentite.

Implicazioni per le Aziende

Le aziende sono chiamate a rivedere le proprie policy interne riguardanti la gestione delle email aziendali, assicurandosi che siano allineate alle nuove disposizioni. È consigliabile effettuare una valutazione d’impatto sulla protezione dei dati (DPIA) per identificare e mitigare eventuali rischi associati al trattamento dei metadati.

Inoltre, nella selezione di fornitori di servizi di posta elettronica, è fondamentale assicurarsi che questi rispettino le normative sulla protezione dei dati e offrano garanzie adeguate in termini di sicurezza e gestione dei metadati.

Conclusioni

Di fatto, quindi, il Provvedimento del Garante non reca prescrizioni, né introduce nuovi adempimenti, ma, anche alla luce delle decisioni già adottate dall’Autorità, stimola l’attenzione dei datori di lavoro su alcuni punti di intersezione tra la disciplina di protezione dei dati e le norme che stabiliscono le condizioni per l’impiego degli strumenti tecnologici nei luoghi di lavoro, invitandoli ad adottare un approccio proattivo, implementando misure che garantiscano la protezione dei dati dei dipendenti e la conformità alle normative vigenti.