Con il provvedimento n. 642 del 21 dicembre 2023, il Garante ha reso noto un nuovo documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” riaccendendo i riflettori sullo spinoso tema della gestione della posta elettronica aziendale. Lo stesso Provvedimento pubblicato in newsletter lo scorso 6 febbraio ha sollevato un certo fermento tra datori di lavoro e produttori di software per la gestione delle e-mail aziendali.

I punti principali del Documento di Indirizzo

Il documento di indirizzo è stato concepito dall’Autorità a seguito di verifiche e accertamenti, dai quali è emerso “come programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere, per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email), conservando gli stessi per un esteso arco temporale; ciò talvolta ponendo, altresì, limitazioni al cliente (datore di lavoro) in ordine alla possibilità di modificare le impostazioni di base del programma informatico al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi”.

Le mancanze riscontrate sarebbero state dunque la scintilla a innescare nell’Autorità la necessità di “promuovere la consapevolezza delle scelte – anche organizzative -dei titolari del trattamento”, “prevenire iniziative e trattamenti di dati in contrasto con la disciplina in materia di protezione dei dati e lo Statuto dei Lavoratori” e “favorire la comprensione delle norme e la conoscenza delle garanzie che devono essere rispettate nel contesto lavorativo, tenuto conto degli elevati rischi per i diritti e le libertà degli interessati”.

Come si traduce operativamente il documento di Indirizzo?

Quel che l’Autorità chiede a datori di lavoro pubblici e privati è di verificare che i programmi e i servizi informatici utilizzati dai dipendenti – anche con riferimento alle soluzioni fornite in cloud as a service – consentano di limitare il periodo di conservazione ad un massimo di 7 giorni, prolungabili in caso di comprovate esigenze, di ulteriori 48 ore. Questo sarebbe dunque il periodo di conservazione – a detta del Garante – da considerare congruo dal punto di vista tecnico per garantire il corretto funzionamento della posta elettronica utilizzata dal dipendente.

Sul fronte software-house l’Autorità esorta “i produttori dei servizi e delle applicazioni, in fase di sviluppo e progettazione degli stessi, a tenere conto del diritto alla protezione dei dati tenuto conto dello stato dell’arte”. Qualora tali misure non siano rispettate da una parte o dall’altra degli attori chiamati in causa “i datori di lavoro pubblici o privati, in qualità di titolari del trattamento, dovranno alternativamente, nel caso in cui i trattamenti di dati personali in questione si dovessero comunque rendere necessari per il perseguimento di esigenze organizzative o produttive, espletare le richiamate procedure di garanzia previste dalla disciplina di settore (art. 4 della l. 300/1970) o cessare l’utilizzo di tali programmi e servizi informatici”.

Dovrà essere garantita ai lavoratori la trasparenza necessaria, tramite una specifica informativa sul trattamento dei dati personali prima di avviare il trattamento. Non dimentichiamo che l’obbligo informativo nei confronti dei lavoratori rappresenta una precondizione necessaria per consentire l’utilizzo legittimo dei dati raccolti attraverso strumenti tecnologici, da parte del datore di lavoro.

Niente allarmismi. Solo Accountability

Il Provvedimento non nasce con l’intento di suscitare allarmismi o forme di preoccupazione rispetto all’utilizzo della posta elettronica e – di fatto – non va a integrare le normative preesistenti con nessuna nuova misura o aspetti di particolare impatto. L’approccio suggerito segue la logica di un utilizzo sicuro e compliance rispetto a qualsiasi altra tecnologia.

Il fine del Provvedimento ancora una volta conferma la volontà dell’Autorità di conciliare gli aspetti normativi con le misure di sicurezza e le esigenze di business, circoscrivendo il perimetro di sicurezza e legalità entro il quale datori di lavoro, produttori e dipendenti possono agire in maniera compliance, sia sul fronte normativo che di sicurezza informatica in relazione agli strumenti in dotazione ed in uso. 

Rivolgendosi ai datori di lavori pubblici e privati il testo di fatto si limita ad offrire indicazioni per il trattamento della posta elettronica, sia in riferimento al periodo di conservazione che alle norme a tutela della libertà e dignità dei Lavoratori che non siano in conflitto con lo Statuto dei Lavoratori. Il principio cardine a guidare ogni scelta aziendale deve essere quello dell’Accountability: se lato produttori lo sviluppo di una soluzione deve necessariamente seguire i principi del privacy by design e il rispetto dell’attuale quadro normativo, su quello datori di lavori l’approccio deve essere quello di valutare la filiera fornitori e l’adeguatezza degli strumenti utilizzati, nell’ottica di trovare un solido equilibrio tra le esigenze organizzative e di controllo dell’azienda e, la necessità di tutelare la riservatezza dei lavoratori.