ASCOLTA ARTICOLO
|
Articolo pubblicato su altalex
Ascolta l’intervista su Ius Law Web Radio
Con il Provvedimento 22 febbraio 2024, n. 127 il Garante privacy stabilisce di differire l’efficacia del documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (Provvedimento 21 dicembre 2023, n. 642) al termine della consultazione pubblica o, in caso di mancata adozione di ulteriori determinazioni, al sessantesimo giorno successivo la scadenza del termine per la presentazione dei contributi richiesti nell’ambito della consultazione medesima.
Il documento di indirizzo
Il Garante privacy, nell’ambito di accertamenti condotti con riguardo ai trattamenti di dati personali effettuati nel contesto lavorativo, ha rilevato il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere, per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti, conservando gli stessi per un esteso arco temporale. Ciò talvolta ponendo, altresì, limitazioni ai datori di lavoro in ordine alla possibilità di modificare le impostazioni di base del programma informatico al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi.
Nel documento di indirizzo emanato allo scopo di fornire indicazioni ai datori di lavoro pubblici e privati e agli altri soggetti a vario titolo coinvolti, al fine di promuovere la consapevolezza delle scelte, anche organizzative, dei titolari del trattamento, nonché a prevenire iniziative e trattamenti di dati in contrasto con la disciplina in materia di protezione dei dati e le norme che tutelano la liberà e la dignità dei lavoratori, si rileva che l’impiego dei predetti programmi e servizi di gestione della posta elettronica, in assenza dell’espletamento delle procedure di garanzia di cui all’art. 4, comma 1, della L. n. 300/1970, prima di dare avvio alla preventiva e sistematica raccolta dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti, e alla conservazione degli stessi per un ampio arco temporale (superiore a sette giorni estensibili di ulteriori 48 ore , alle condizioni indicate al par. 3), si pone in contrasto con la normativa in materia di protezione dei dati personali e con la disciplina di settore, in violazione degli artt. 5, par. 1, lett. a), 6 e 88, par. 1, del Regolamento, nonché 114 del Codice (in relazione all’art. 4, comma 1, della l. n. 300/1970).
Inoltre, dagli elementi ricavabili dai dati esteriori della corrispondenza, come l’oggetto, il mittente e il destinatario e altre informazioni che accompagnano i dati in transito, definendone profili temporali (come la data e l’ora di invio/ricezione), nonché dagli aspetti quali-quantitativi anche in ordine ai destinatari e alla frequenza di contatto (in quanto anche questi dati sono, a propria volta, suscettibili di aggregazione, elaborazione e di controllo), è possibile acquisire informazioni riferite alla sfera personale o alle opinioni dell’interessato.
Alla luce delle considerazioni che precedono e al fine di prevenire trattamenti di dati personali non conformi al richiamato quadro normativo, con conseguenti responsabilità sul piano sia amministrativo che penale, i datori di lavoro pubblici e privati sono chiamati ad adottare le misure necessarie a conformare i propri trattamenti alla disciplina di protezione dati e a quella di settore.
Date queste premesse, il Garante privacy, nel documento in commento, ha invitato i titolari del trattamento a voler verificare con la dovuta diligenza che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti, specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service, consentano al cliente (datore di lavoro) di modificare le impostazioni di base, impedendo la raccolta dei predetti metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di sette giorni, estensibile di ulteriori 48 ore, al verificarsi di particolari condizioni.
L’alternativa prospettata dall’Autorità amministrativa è quella di espletare le procedure di garanzia previste dalla disciplina di settore (art. 4 della l. 300/1970) o cessare l’utilizzo di tali programmi e servizi informatici. Resta inteso che, nelle more dell’eventuale espletamento delle procedure di garanzia, i predetti metadati non possono comunque essere utilizzati (cfr. art. 2-decies del Codice).
Con l’occasione, il Garante privacy torna ad invitare i datori di lavoro a voler fornire ai lavoratori una specifica informativa sul trattamento dei dati personali prima di dare inizio al trattamento (cfr. art. 5, par. 1, lett. a), 12 e 13 del Regolamento). Ciò anche tenuto conto del fatto che l’adempimento degli obblighi informativi nei confronti dei dipendenti (consistenti nella “adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli”) costituisce anche una specifica precondizione per il lecito utilizzo dei dati raccolti attraverso strumenti tecnologici, da parte del datore di lavoro, anche a tutti i fini connessi al rapporto di lavoro (art. 4, co. 3, della l. n. 300/1970).
I possibili impatti privacy
Sin da quando il documento di indirizzo è stato reso pubblico si è acceso il dibattito sulle conseguenze che avrebbe avuto nell’organizzazione quotidiana delle attività lavorative tout court. Del resto è noto che impedire la conservazione dei metadati (quelle informazioni aggiuntive associate a un messaggio di posta elettronica come ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail) oltre i 7 gg di fatto finisce col nuocere anche alla sicurezza delle informazioni scambiate attraverso la posta elettronica. Come è noto, infatti i metadati hanno anche lo scopo instradare correttamente i messaggi, gestire lo spam, monitorare la consegna e a diagnosticare eventuali problemi tecnici.
In molti, infatti, hanno evidenziato come il termine di 7 giorni (eventualmente prorogabile di ulteriori 48 ore) appaia del tutto sproporzionato nel bilanciamento della sicurezza e know how aziendale con i diritti e le libertà dei lavoratori.
Da più parti infatti si sarebbe auspicato che il provvedimento fosse indirizzato alle big tech che pur consentendo ampio margine di configurabilità, non consentono il chiesto livello di dettaglio. Di conseguenza anche volendo adempiere pedissequamente al documento di indirizzo, risulterebbe estremamente difficoltoso soprattutto per una piccola impresa o un libero professionista, adeguarsi all’osservanza del suddetto termine, senza subirne conseguenze negative sul piano dell’organizzazione del lavoro.
Sarebbero invece i fornitori di servizi di posta elettronica a doversi adeguare per primi consentendo di intervenire sugli aspetti richiamati dal Garante privacy, proprio in attuazione dei principi di privacy by design e by default che, applicati invece ai datori di lavoro nella loro qualità di titolari del trattamento, dovrebbero lasciare a questi ultimi la scelta circa il termine di conservazione dei metadati ritenuto più idoneo.
La consultazione pubblica
Le perplessità sollevate dal documento di indirizzo nonché le numerose richieste di chiarimenti pervenute hanno di recente determinato il Garante privacy ad avviare una consultazione pubblica della durata di 30 giorni a partire dalla data di pubblicazione dell’avviso pubblico di avvio della medesima consultazione sulla Gazzetta Ufficiale, volta ad acquisire osservazioni e proposte in merito alla congruità, in relazione alle finalità perseguite dai datori di lavori pubblici e privati, del termine di conservazione dei metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica e relativi alle operazioni di invio, ricezione e smistamento dei messaggi di posta elettronica (che possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei computer coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione e di ricezione, la dimensione del messaggio, la presenza e la dimensione degli eventuali allegati, in certi casi anche l’oggetto del messaggio spedito o ricevuto) e, più in generale alle forme e modalità di utilizzo di tali metadati che ne renderebbero necessaria una conservazione superiore a quella ipotizzata nel citato documento di indirizzo.
Non si può che valutare positivamente l’apertura alla consultazione pubblica, proprio nell’ottica di ascolto delle numerose istanze pervenute da molti titolari del trattamento.
L’auspicio è che venga restituito ai datori di lavoro il pieno controllo sulle finalità e i mezzi del trattamento, lasciandoli liberi di mettere in atto misure tecniche e organizzative adeguate per garantire che il trattamento dei dati personali sia effettuato conformemente al Regolamento e quindi di autodeterminare il periodo di conservazione ritenuto congruo, tenuto conto della natura, del campo di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
Allo stesso tempo ci si attende che siano i fornitori di posta elettronica a garantire piena applicazione ai condivisibili principi rappresentati dal Garante privacy nel documento di indirizzo, tesi a prevenire iniziative e trattamenti di dati in contrasto con la disciplina in materia di protezione dei dati e le norme che tutelano la liberà e la dignità dei lavoratori (cfr. artt. 113 e 114 del Codice privacy), favorendo, in tal modo, la più ampia comprensione riguardo alle norme e alle garanzie che devono essere rispettate nel contesto lavorativo, tenuto conto degli elevati rischi per i diritti e le libertà degli interessati.
A prescindere dalle ulteriori determinazioni che verranno adottate, simili iniziative hanno il duplice scopo di promuovere la consapevolezza delle scelte, anche organizzative, dei titolari del trattamento stimolando la riflessione su tematiche di data protection, nonché di indirizzare l’attività del Garante per la protezione dei dati, avvicinandola alle esigenze dei cittadini.