Faro del Garante sulla gestione della posta elettronica: al via la consultazione pubblica

Il Garante per la protezione dei dati personali (Garante) con il provvedimento 22 febbraio 2024, n. 127 ha avviato una consultazione pubblica volta ad acquisire contributi, osservazioni e proposte sul documento di indirizzo“Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, adottato lo scorso 21 dicembre 2023, n. 642.

Le osservazioni dovranno pervenire, all’indirizzo del Garante anche mezzo posta elettronica, entro 30 giorni dalla pubblicazione dell’avviso pubblico di avvio della medesima consultazione sulla Gazzetta Ufficiale.

Il Documento di indirizzo

Il provvedimento in materia di conservazione dei metadati degli account di posta elettronica aveva suscitato perplessità, critiche e vivaci reazioni da tanti soggetti interessati in particolare relativamente alla congruità del termine di conservazione previsto che non teneva conto altresì, di forme e modalità di utilizzo di tali metadati che ne avrebbero resa necessaria una conservazione superiore a quella ipotizzata.

Rivolto ai datori di lavoro pubblici e privati che per la gestione della posta elettronica utilizzano programmi forniti anche in modalità cloud il Documento contiene indicazioni utili a prevenire trattamenti di dati in contrasto con la disciplina sulla protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori promuovendo la consapevolezza delle scelte, anche organizzative, dei titolari del trattamento ma, soprattutto, dettava tempi di conservazione di massimo 7 giorni (estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore) proprio per contrastare la diffusa abitudine, da parte dei titolari, a conservare tali dati per un esteso arco temporale.

Tale periodo dal Garante veniva considerato congruo, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore.

Il Documento, infatti, traeva origine da una serie di evidenze emerse nel corso dell’attività ispettiva laddove programmi e servizi informatici per la gestione della posta elettronica, in particolare in modalità cloud, raccolgono, per impostazione predefinita, in modo preventivo e generalizzato, un grande numero di informazioni relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (giorno, ora, mittente, destinatario, oggetto e dimensione dell’email), senza limiti nella conservazione e senza lasciare al titolare la possibilità di modificare le impostazioni di base del programma informatico al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi.

I datori di lavoro che per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare (in particolare, ad esempio, per specifiche esigenze di sicurezza dei sistemi) avessero necessità di trattare i metadati per un periodo di tempo più esteso, dovranno espletare le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro). L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può, infatti, configurare un indiretto controllo a distanza dell’attività del lavoratore.

Ciò nella considerazione che, anche nel contesto lavorativo pubblico e privato, sussiste una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza[1]: ne consegue che il datore di lavoro, in quanto titolare del trattamento, deve verificare la presenza di un idoneo presupposto di liceità[2] prima di effettuare trattamenti di dati personali dei lavoratori attraverso tali programmi e servizi, rispettando le condizioni per il lecito impiego di strumenti tecnologici nel contesto lavorativo[3].

In particolare, deve essere sempre verificata la sussistenza dei presupposti di liceità stabiliti dall’art. 4 della l. 20 maggio 1970, n. 300, cui fa rinvio l’art. 114 del Codice, nonché il rispetto delle diposizioni che vietano al datore di lavoro di acquisire e comunque trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata[4].

Il titolare dovrà quindi valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche – in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalità perseguite – che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali[5].

Conclusioni

Con l’avvio della consultazione il Garante ha disposto il differimento dell’efficacia del Documento “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” oggetto di consultazione pubblica.

Al termine della consultazione il Garante si riserva, eventualmente, di adottare ulteriori determinazioni in merito ai contenti del Documento di indirizzo. Nel caso in cui il Garante non ritenesse necessario adottare un nuovo provvedimento, il Documento tornerà a dispiegare la sua efficacia al sessantesimo giorno successivo la scadenza del termine per la presentazione delle osservazioni.

Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA

[1] “Linee guida del Garante per posta elettronica e Internet” del 1° marzo 2007, n. 13.

[2] Cfr. Articoli 5, par. 1, lett. a) e 6 del Regolamento.

[3] Cfr. Articolo 88, par. 2, del Regolamento.

[4] Cfr. Articolo 8 della legge 20 maggio 1970, n. 300 e articolo 10 d.lgs. 10 settembre 2003, n. 276, cui fa rinvio l’art. 113 del Codice.

[5] Cfr. Considerando 90 e articoli 35 e 36 del Regolamento.