Garante Privacy: trattamento dei metadati quale mezzo di controllo a distanza dei lavoratori

Con il provvedimento del 21 dicembre 2023, il Garante per la protezione dei dati personali ha rilasciato un importante documento di indirizzo volto ad interpretare correttamente la normativa sulla protezione dei dati personali – fra cui il Reg. (UE) 2016/679 (“GDPR”) – nel contesto lavorativo e, in particolare, con riguardo alle attività di trattamento connesse alla gestione e conservazione dei metadati delle e-mail.

Che cosa sono i metadati?

I metadati delle e-mail sono informazioni aggiuntive associate a un messaggio di posta elettronica che forniscono dettagli sul suo invio, ricezione e trasmissione. Questi metadati includono informazioni come: l’indirizzo e-mail del mittente e dei destinatari; data e ora di invio; l’oggetto della mail; gli orari di invio, di ritrasmissione e di ricezione; la dimensione del messaggio e degli allegati; l’indirizzo IP del server di posta elettronica utilizzato per inviare o ricevere il messaggio (nonché altre informazioni come il tipo di protocollo utilizzato e il nome del server).

Questi metadati sono essenziali per il funzionamento del sistema di posta elettronica; tuttavia, possono essere utilizzati per tracciare la storia e l’itinerario di un messaggio, oltre a rivelare informazioni sulle comunicazioni degli utenti. Per tale ragione, il Garante è intervenuto per disciplinare il loro utilizzo in un contesto sensibile come quello lavorativo. Infatti, l’utilizzo di programmi o servizi informatici che consentano la raccolta, conservazione e l’accesso dà luogo a trattamenti di dati personali riferiti a interessati identificati o identificabili (ossia i dipendenti). Stante la particolare vulnerabilità degli interessati nel contesto lavorativo, le attività di trattamento relative ai metadati delle e-mail possono comportare il rischio di un monitoraggio sistematico, inteso come trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti.

Normativa giuslavoristica

Tali trattamenti non sono vietati dalla normativa europea e nazionale, ma il titolare del trattamento dovrà, ovviamente, verificare la sussistenza di un idoneo presupposto di liceità per compierli. Nel contesto lavorativo, inoltre, il principio di liceità di cui all’art. 5 GDPR è integrato allorché siano soddisfatti i requisiti di cui all’art. 4 della l. 300/1970 (Statuto dei Lavoratori), cui fa rinvio l’art. 114 del Codice privacy, nonché il rispetto delle disposizioni che vietano al datore di lavoro di acquisire e comunque trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata (art. 8 Stat. Lav.). L’osservanza di queste norme costituisce una condizione di liceità del trattamento e la cui violazione determina, oltre all’applicazione di sanzioni amministrative pecuniarie ai sensi dell’art. 83, par. 5, lett. d) GDPR, anche il possibile insorgere di responsabilità sul piano penale.

L’art. 4 Stat. Lav. individua tassativamente le finalità per le quali gli strumenti, dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere impiegati nel contesto lavorativo (tutela del patrimonio aziendale, esigenze organizzative-produttive, sicurezza del lavoro), stabilendo precise garanzie procedurali per ammetterle, ossia l’autorizzazione dell’Ispettorato Nazionale del Lavoro o la stipula di un accordo collettivo con le associazioni sindacali. A questo regime garantistico sono concesse due importanti eccezioni: sono infatti ammessi gli strumenti di registrazione degli accessi e delle presenze, così come i dispositivi utilizzati dal lavoratore per rendere la prestazione lavorativa. L’importanza di quest’ultima eccezione è evidente in quanto i suddetti strumenti informatici sono funzionali a consentire l’assolvimento degli obblighi che discendono direttamente dal contratto di lavoro, vale a dire la prestazione lavorativa.

Riconduzione dei metadati quali mezzi di controllo

Come detto, i metadati sono creati automaticamente dai servizi di posta elettronica, e il modo in cui il titolare li utilizza determina l’applicazione di normative diverse, a seconda che siano considerati strumenti essenziali per il lavoro o strumenti di monitoraggio a distanza dei dipendenti. Ed è proprio su questo punto che è intervenuto in via interpretativa il Garante. Infatti, l’autorità ha ricondotto come compatibile con l’art. 4, co. 2 Stat. Lav. l’attività di raccolta e conservazione dei soli metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, per un periodo di tempo che, nel rispetto del principio di accountability, non può essere generalmente superiore a poche ore o ad alcuni giorni, in ogni caso non oltre sette giorni, estensibili di ulteriori 48 ore, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento.

Diversamente, la conservazione ulteriore dei metadati delle e-mail nel contesto lavorativo – ancorché avvenga per le finalità ammesse di cui all’art. 4 Stat. Lav. (quali, ad esempio, per finalità di sicurezza informatica e tutela del patrimonio informatico del datore di lavoro) -, permettendo di ricostruire l’attività del dipendente e di effettuare un controllo sulla stessa, anche indirettamente, richiede la soddisfazione delle garanzie previste dall’art. 4, co. 1 Stat. Lav., ossia la stipula di un accordo collettivo con i sindacati o l’autorizzazione dell’INL (cfr. GPDP, Provv.  n. 409/2022 – Regione Lazio). In assenza del previo espletamento delle procedure di garanzia imposte, il trattamento dei metadati delle e-mail dei dipendenti e la conservazione degli stessi per un arco di tempo superiore a quello individuato dal Garante (sette giorni estendibili di ulteriori 48H) è illecito in quanto non rispettoso del principio di liceità stabilito all’art. 5 GDPR. Inoltre, la generalizzata raccolta e conservazione dei metadati relativi all’utilizzo delle e-mail da parte dei dipendenti, per un periodo di tempo esteso, può comportare la possibilità per il datore di lavoro di acquisire informazioni riferite alla sfera personale o alle opinioni dell’interessato, violando, quindi, l’art. 8 Stat. Lav. che vieta di fare indagini sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione della sua attitudine professionale.

Prescrizioni per i datori di lavoro: accountability, minimizzazione e limitazione della conservazione

All’esito del provvedimento del Garante, quali sono le prescrizioni a cui i datori di lavoro si devono attenere? In primo luogo, è necessario individuare che la durata di conservazione dei metadati sia proporzionata rispetto alle finalità perseguite. Com’è possibile immaginare, per raggiungere la finalità di sicurezza informatica o tutela del patrimonio informativo è del tutto ingiustificato conservare i metadati per due o tre anni, soprattutto allorché non ci si doti di opportune contromisure per impedire il monitoraggio dei lavoratori.

Da ciò deriva il secondo onere: i datori di lavoro – quali titolari del trattamento – devono adottare le misure più idonee ad assicurare il rispetto dei principi della privacy by design e by default durante l’intero ciclo di vita dei dati, incorporando misure di sicurezza adeguate e facendo in modo che venga svolto, per default, solo il trattamento strettamente necessario per conseguire le finalità individuate. Qualora utilizzino prodotti o servizi di terzi, il titolare dovrà verificare che i suddetti siano conformi ai principi del trattamento dei dati personali di cui all’art. 5 GDPR, adottando le opportune misure e impartendo le necessarie istruzioni al fornitore affinché quest’ultimo si renda conforme. In tal senso è evidente come l’art. 25 GDPR impatti efficacemente, oltre che su titolari e responsabili del trattamento, anche sui produttori di servizi digitali, imponendone, a monte, il rispetto della protezione dei dati personali.

Oltre a ciò, i datori di lavoro dovranno espletare le procedure di garanzia previste dall’art. 4 Stat. Lav. per conservare i metadati delle e-mail per un lungo periodo e dovranno assicurare adeguata trasparenza nei confronti dei lavoratori, fornendo agli stessi una specifica informativa sul trattamento dei dati personali prima di dare inizio al trattamento.

Criticità provvedimento garante e avvio della consultazione pubblica con riferimento ai tempi di conservazione dei metadati

In ogni caso, il Garante, alla luce delle specifiche richieste di chiarimenti ricevute recentemente, ha avviato negli scorsi mesi una consultazione pubblica con gli operatori del settore per raccogliere osservazioni e proposte riguardanti i tempi di conservazione dei metadati generati o raccolti nei sistemi di posta elettronica nel contesto lavorativo. Tale iniziativa mira a valutare la congruità dei termini di conservazione dei metadati, in relazione alle finalità perseguite dai datori di lavoro, sia pubblici che privati.

L’entrata in vigore del documento di indirizzo è stata, dunque, differita fino a quando il Garante non adotterà ulteriori determinazioni in seguito alla consultazione pubblica. Non resta che attendere sviluppi.