Il 27 febbraio 2024, il Garante ha pubblicato, sul sito web istituzionale (www.garanteprivacy.it), l’Avviso pubblico di avvio della consultazione sul “termine di conservazione dei metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica”.

La procedura di consultazione pubblica si è resa necessaria a seguito delle numerose richieste di chiarimento pervenute al Garante dopo la pubblicazione del documento di indirizzo denominato:

• “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”.

(https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9978728).

IL DOCUMENTO DI INDIRIZZO PROGRAMMI E SERVIZI INFORMATICI DI GESTIONE DELLA POSTA ELETTRONICA NEL CONTESTO LAVORATIVO E TRATTAMENTO DEI METADATI

Il Documento di indirizzo, oggetto di consultazione pubblica, è rivolto ai datori di lavoro pubblici e privati e agli altri soggetti coinvolti, a vario titolo, nella gestione della posta elettronica.

Lo scopo perseguito dal Garante consiste nel fornire indicazioni per:

• promuovere la consapevolezza delle scelte, anche organizzative, dei titolari del trattamento relative alla gestione posta elettronica dei dipendenti;
• prevenire iniziative e trattamenti di dati della posta elettronica in contrasto con la disciplina in materia di protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori (cfr. artt. 113 e 114 del Codice),
• favorire, in tal modo, la più ampia comprensione riguardo alle norme e alle garanzie che devono essere rispettate nel contesto lavorativo, tenuto conto degli elevati rischi per i diritti e le libertà degli interessati.

Le linee di indirizzo si sono rese necessarie a seguito accertamenti condotti dal Garante con riguardo ai trattamenti di dati personali illeciti, effettuati nel contesto lavorativo, dai quali è emerso il rischio che:

• programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere, per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email), conservando gli stessi per un esteso arco temporale; ciò talvolta ponendo, altresì, limitazioni al cliente (datore di lavoro) in ordine alla possibilità di modificare le impostazioni di base del programma informatico al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi.

In relazione al predetto rischio, l'Autorità Garante ha osservato che l’art. 4, comma 1, l. 20 maggio 1970, n. 300, come modificato dal d.lgs. 14 settembre 2015, n. 151, individua tassativamente le finalità (ovvero quelle organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale) per le quali gli strumenti, dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere impiegati nel contesto lavorativo, stabilendo precise garanzie procedurali (accordo sindacale o autorizzazione pubblica).

Le predette garanzie non trovano invece applicazione (art. 4, comma 2, l. n. 300/1970):

• agli strumenti di registrazione degli accessi e delle presenze;
• agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa.

La disposizione dell’art. 4, comma 2, l. n. 300/1970 introduce un’eccezione, rispetto al più restrittivo regime previsto dal comma 1 e, secondo il Garante, deve essere oggetto di stretta interpretazione, considerate le responsabilità anche sul piano penale che possono derivare dalla violazione del predetto quadro normativo.

In pratica, l’interpretazione dell’art. 4 l. n. 300/1970, effettuata dal Garante è che:

• solo gli strumenti preordinati, anche in ragione delle caratteristiche tecniche di configurazione, alla “registrazione degli accessi e delle presenze” e allo “svolgimento della prestazione” non soggiacciono quindi ai limiti e alle garanzie di cui al primo comma, in quanto funzionali a consentire l’assolvimento degli obblighi che discendono direttamente dal contratto di lavoro, vale a dire, la presenza in servizio e l’esecuzione della prestazione lavorativa.

La conclusione a cui il Garante perviene nel Documento di indirizzo, in base alla predetta interpretazione, è che:

- non può essere superiore, di norma, a poche ore o ad alcuni giorni, in ogni caso non oltre sette giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore, l’attività di raccolta e conservazione dei soli c.d. metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica (v. provv.ti nn. 303 del 13 luglio 2016, doc. web n. 5408460; 1° febbraio 2018, n. 53, doc. web n. 8159221; 29 ottobre 2020, n. 214, doc. web n. 9518890; 29 settembre 2021, n. 353, doc. web n. 9719914).

Per contro:

• la generalizzata raccolta e la conservazione di tali metadati, per un lasso di tempo più esteso a poche ore o ad alcuni giorni, in ogni caso non oltre sette giorni – ancorché sul presupposto della sua necessità per finalità di sicurezza informatica e tutela dell’integrità del patrimonio, anche informativo, del datore di lavoro - potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta l. n. 300/1970 (v., da ultimo, provv. 1° dicembre 2022, n. 409, doc. web n. 9833530).

Sulla base di tale conclusione, le PA e i fornitori di servizi mail si sono dovuti interrogare in ordine alla correttezza del termine di conservazione applicato fino ad ora ai metadati rispetto al termine di 7 giorni, estensibili di 48 ore per comprovate esigenze, indicato dal Garante.

Al riguardo, le PA e i fornitori di servizi mail hanno rilevato numerose criticità in relazione alle forme e modalità di utilizzo dei metadati, evidenziando le ragioni che ne rendono necessaria una conservazione superiore a quella ipotizzata nel Documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”.

Per rispondere alle numerose richieste di chiarimenti ricevute, il Garante ha deciso di differire l'efficacia del Documento di indirizzo e promuovere una consultazione pubblica di 30 giorni sulla congruità del termine di conservazione dei metadati degli account dei servizi di posta elettronica dei lavoratori (giorno, ora, mittente, destinatario, oggetto, dimensione dell’e-mail).

I partecipanti alla consultazione possono inviare i contributi (osservazioni, commenti, informazioni, proposte e tutti gli elementi ritenuti utili) all'indirizzo di posta elettronica protocollo@gpdp.it oppure protocollo@pec.gpdp.it, fermo restando che i contributi non possono costituire titolo, condizione o vincolo rispetto alle successive decisioni del Garante.

Nel frattempo, come anzidetto, l'efficacia del Documento di indirizzo resta sospesa.

Al fine di supportare l’attività di invio dei contributi si sintetizza, di seguito, il Documento di indirizzo.

SINTESI

1. Introduzione

Il Garante accerta che:

- con riguardo ai trattamenti di dati personali effettuati nel contesto lavorativo è emerso il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email), conservando gli stessi per un esteso arco temporale.

2. La normativa in materia di protezione dei dati personali

L’impiego dei predetti programmi e servizi informatici dà luogo a “trattamenti” di dati personali, riferiti a “interessati”, identificati o identificabili nel contesto lavorativo. E’ necessario che il datore di lavoro verifichi la sussistenza di un idoneo presupposto di liceità prima di effettuare trattamenti di dati personali dei lavoratori attraverso tali programmi e servizi. In particolare, dovrà quindi essere sempre verificata la sussistenza dei presupposti di liceità stabiliti dall’art. 4 della l. 20 maggio 1970, n. 300, cui fa rinvio l’art. 114 del Codice, nonché il rispetto delle disposizioni che vietano al datore di lavoro di acquisire e comunque trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata. Il titolare del trattamento è inoltre tenuto a rispettare i principi generali del trattamento anche con riguardo alla necessità di fornire agli interessati in modo corretto e trasparente una chiara rappresentazione del complessivo trattamento effettuato.

Inoltre spetta al titolare valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche - in ragione delle tecnologie impiegate e considerata la natura, l'oggetto, il contesto e le finalità perseguite - che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali.

3. La disciplina di settore in materia di controlli a distanza

L’art. 4, comma 1, l. 20 maggio 1970, n. 300, come modificato dal d.lgs. 14 settembre 2015, n. 151, individua tassativamente le finalità (ovvero quelle organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale) per le quali gli strumenti, dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere impiegati nel contesto lavorativo, stabilendo precise garanzie procedurali (accordo sindacale o autorizzazione pubblica).

Le predette garanzie non trovano invece applicazione “agli strumenti di registrazione degli accessi e delle presenze”, così come “agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” (art. 4, comma 2, l. n. 300/1970). Tale disposizione introduce un’eccezione, rispetto al più restrittivo regime previsto dal comma 1, e deve, pertanto, essere oggetto di stretta interpretazione, considerate le responsabilità anche sul piano penale che possono derivare dalla violazione del predetto quadro normativo. Per scelta espressa del legislatore, solo gli strumenti preordinati, anche in ragione delle caratteristiche tecniche di configurazione, alla “registrazione degli accessi e delle presenze” e allo “svolgimento della prestazione” non soggiacciono quindi ai limiti e alle garanzie di cui al primo comma, in quanto funzionali a consentire l’assolvimento degli obblighi che discendono direttamente dal contratto di lavoro, vale a dire, la presenza in servizio e l’esecuzione della prestazione lavorativa.

Alla luce delle disposizioni richiamate, l’attività di raccolta e conservazione dei soli c.d. metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, per un tempo che, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione - affinché sia ritenuto applicabile il comma 2 dell’art. 4 della L. n. 300/1970 – non può essere superiore di norma a poche ore o ad alcuni giorni, in ogni caso non oltre sette giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore. Diversamente, la generalizzata raccolta e la conservazione di tali metadati, per un lasso di tempo più esteso – ancorché sul presupposto della sua necessità per finalità di sicurezza informatica e tutela dell’integrità del patrimonio, anche informativo, del datore di lavoro -, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta l. n. 300/1970

4. Le possibili responsabilità per i datori di lavoro pubblici e privati

4.1 Illiceità del trattamento

In considerazione del richiamato quadro giuridico, l’impiego dei predetti programmi e servizi di gestione della posta elettronica, in assenza dell’espletamento delle procedure di garanzia di cui all’art. 4, comma 1, della l. n. 300/1970, prima di dare avvio alla preventiva e sistematica raccolta dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti, e alla conservazione degli stessi per un ampio arco temporale (superiore a sette giorni estensibili di ulteriori 48 ore , alle condizioni indicate al par. 3), si pone in contrasto con la normativa in materia di protezione dei dati personali e con la richiamata disciplina di settore. Altri profili di illiceità possono poi derivare dall’utilizzo ulteriore dei dati personali, raccolti in assenza delle predette garanzie. Inoltre, dagli elementi ricavabili dai dati esteriori della corrispondenza, come l’oggetto, il mittente e il destinatario e altre informazioni che accompagnano i dati in transito, definendone profili temporali (come la data e l’ora di invio/ricezione), nonché dagli aspetti quali-quantitativi anche in ordine ai destinatari e alla frequenza di contatto (in quanto anche questi dati sono, a propria volta, suscettibili di aggregazione, elaborazione e di controllo), è possibile acquisire informazioni riferite alla sfera personale o alle opinioni dell’interessato.

Sotto tale profilo, si ricorda che, fin dal 1970, al datore di lavoro pubblico e privato è fatto divieto di “effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore”. La generalizzata raccolta e la conservazione dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti, per un periodo di tempo esteso, in assenza di idonei presupposti giuridici, può, dunque comportare la possibilità per il datore di lavoro di acquisire, informazioni non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore.

4.2 Violazione del principio di limitazione della conservazione

I tempi di conservazione dei metadati devono in ogni caso essere proporzionati rispetto alle legittime finalità perseguite. In particolare, finalità connesse alla sicurezza informativa e alla tutela del patrimonio informativa giustificano la conservazione dei metadati per un arco temporale congruo rispetto all’obiettivo di rilevare e mitigare eventuali incidenti di sicurezza, adottando tempestivamente le opportune contromisure. Ove i tempi di conservazione non siano definiti in maniera proporzionata alle finalità del trattamento, il titolare del trattamento può incorrere nella violazione del principio di “limitazione della conservazione”.

4.3 Violazione dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita, e di responsabilizzazione

Il datore di lavoro deve, altresì, adottare misure volte ad assicurare il rispetto dei principi della protezione dei dati fin dalla progettazione del trattamento e per impostazione predefinita durante l’intero ciclo di vita dei dati, “incorporan[d]o nel trattamento le misure e le garanzie adeguate ad assicurare l’efficacia dei principi di protezione dei dati, dei diritti e delle libertà degli interessati” e facendo in modo che “[venga] effettuato per impostazione predefinita solo il trattamento strettamente necessario per conseguire la specifica e lecita finalità”, anche con riguardo al periodo di conservazione dei dati, “in tutte le fasi della progettazione delle attività di trattamento, compresi gli appalti, le gare di appalto, l’esternalizzazione, lo sviluppo, il supporto, la manutenzione, il collaudo, la conservazione, la cancellazione ecc.” (“Linee guida 4/2019 sull’articolo 25 - Protezione dei dati fin dalla progettazione e per impostazione predefinita”, adottate dal Comitato europeo per la protezione dei dati il 20 ottobre 2020).

Inoltre,i trattamenti in questione possono comportare anche la violazione del principio di “responsabilizzazione”. Ciò anche con riguardo alle adeguate misure tecniche e organizzative.

Infatti, il titolare del trattamento, anche quando utilizza prodotti o servizi realizzati da terzi, deve verificare, anche avvalendosi del supporto del Responsabile della protezione dei dati, ove designato, la conformità ai principi applicabili al trattamento dei dati adottando le opportune misure tecniche e organizzative e impartendo le necessarie istruzioni al fornitore del servizio. In tale prospettiva, il titolare del trattamento deve accertarsi, ad esempio, che siano disattivate le funzioni che non sono compatibili con le finalità del trattamento o che si pongono in contrasto con specifiche norme di settore previste dall’ordinamento, specie in ambito lavorativo, commisurando adeguatamente anche i tempi di conservazione dei dati.

5. Le iniziative da porre in essere per assicurare il rispetto della normativa in materia di protezione dei dati e la disciplina di settore in materia di controlli a distanza

I datori di lavoro pubblici e privati dovranno adottare le misure necessarie a conformare i propri trattamenti alla disciplina di protezione dati e a quella di settore.

In particolare, si rende necessario verificare con la dovuta diligenza che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti - specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service - consentano al cliente (datore di lavoro) di modificare le impostazioni di base, impedendo la raccolta dei predetti metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di sette giorni, estensibile di ulteriori 48 ore, alle condizioni indicate al par. 3.

In tale prospettiva, si invitano i produttori dei servizi e delle applicazioni, in fase di sviluppo e progettazione degli stessi, a tenere conto del diritto alla protezione dei dati tenuto conto dello stato dell’arte (v. cons. 78 del Regolamento).

Diversamente, i datori di lavoro pubblici o privati, in qualità di titolari del trattamento, dovranno alternativamente, nel caso in cui i trattamenti di dati personali in questione si dovessero comunque rendere necessari per il perseguimento di esigenze organizzative o produttive, espletare le richiamate procedure di garanzia previste dalla disciplina di settore (art. 4 della l. 300/1970) o cessare l’utilizzo di tali programmi e servizi informatici. Resta inteso che, nelle more dell’eventuale espletamento delle procedure di garanzia, i predetti metadati non possono comunque essere utilizzati (cfr. art. 2-decies del Codice).

In ogni caso, deve essere assicurata la necessaria trasparenza nei confronti dei lavoratori, fornendo agli stessi una specifica informativa sul trattamento dei dati personali prima di dare inizio al trattamento (cfr. art. 5, par. 1, lett. a), 12 e 13 del Regolamento). Ciò anche tenuto conto del fatto che l’adempimento degli obblighi informativi nei confronti dei dipendenti (consistenti nella “adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli”) costituisce anche una specifica precondizione per il lecito utilizzo dei dati raccolti attraverso strumenti tecnologici, da parte del datore di lavoro, anche a tutti i fini connessi al rapporto di lavoro (art. 4, co. 3, della l. n. 300/1970).

Le indicazioni di cui al documento di indirizzo devono considerarsi valide anche nel caso in cui, in ambito pubblico, i programmi e servizi informatici in questione siano acquistati mediante le convenzioni/piattaforme che le pubbliche amministrazioni devono o possono utilizzare per l’acquisto di beni e servizi.

In ogni caso, con riferimento all’utilizzo di servizi basati sul cloud, si richiama quanto indicato nel report “2022 Coordinated Enforcement Action Use of cloud-based services by the public sector” del Comitato europeo per la protezione dei dati (adottato il 17 gennaio 2023, reperibile alla pagina web https://edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-use-cloud-based-services-public_en), che reca indicazioni sulle misure tecniche e organizzative necessarie ad assicurare il rispetto del Regolamento in tale contesto, garantendo, in particolare, che i fornitori dei servizi cloud trattino i dati personali solo per conto dei rispettivi titolari e sulla base delle istruzioni da questi ricevute.