Nell’ambito degli accertamenti effettuati dall’Autorità Garante in relazione ai trattamenti di dati personali nel contesto lavorativo, è emerso che programmi e servizi informatici per la gestione della posta elettronica, anche se forniti in modalità cloud, potrebbero raccogliere automaticamente e indiscriminatamente metadati relativi all’uso degli account di posta elettronica dei dipendenti, conservandoli per un periodo prolungato.
L’Autorità Garante ha quindi esaminato i rischi associati alla loro raccolta e conservazione e fornito utili linee guida, alla luce dell’articolata normativa di settore.
Oltre al GDPR trovano applicazione principi costituzionali, provvedimenti dell’Autorità, nonché l’art. 4 dello statuto dei lavoratori, modificato dal d.lgs. n. 151 del 2015, che si occupa dei controlli a distanza dei lavoratori i quali possono essere effettuati per motivi organizzativi, produttivi, di sicurezza e di tutela del patrimonio aziendale.
Tali controlli richiedono specifiche garanzie procedurali, come l’accordo sindacale o l’autorizzazione pubblica, come ad esempio l’autorizzazione resa dall’ispettorato provinciale del lavoro per l’installazione dei sistemi di videosorveglianza.
Il comma 2 dello stesso articolo 4 dello statuto dei lavoratori, introduce un’eccezione relativamente agli strumenti di registrazione degli accessi e delle presenze e per quelli utilizzati dal lavoratore per svolgere la propria prestazione lavorativa. Questi strumenti non sono soggetti alle restrizioni del comma 1, poiché sono considerati funzionali al rispetto degli obblighi contrattuali del lavoratore.
La raccolta e conservazione dei metadati di posta elettronica del dipendente possono essere considerate legittime se rientrano nell’eccezione prevista per strumenti necessari al funzionamento delle infrastrutture del sistema (comma 2 art. 4).
In tale ottica, l’attività deve essere comunque limitata a un periodo breve, tipicamente non oltre 21 giorni, salvo particolari esigenze tecniche e organizzative: la raccolta estesa richiede infatti garanzie procedurali specifiche.
In conclusione, il datore di lavoro dovrà compiere una delle seguenti scelte:
1) limitare la conservazione dei metadati in esame fino a 21 giorni;
2) estendere il tempo di conservazione oltre a 21 giorni, solo in presenza di particolari condizioni, comprovandole e giustificandole adeguatamente in funzione delle specificità della propria realtà tecnica e organizzativa, in applicazione del principio di accountability previsto dall’art. 5, par. 2, del GDPR;
3) nel caso in cui non sia riuscito a comprovare adeguatamente la presenza di particolari condizioni giustificative, ai sensi dell’art. 5, par. 2 del GDPR, trovare un accordo sindacale o richiedere l’autorizzazione all’ispettorato del lavoro territorialmente competente.
In ogni caso i lavoratori devono essere informati sull’uso degli strumenti e sulle modalità dei controlli, in conformità con le norme sulla protezione dei dati personali.
La conservazione dei dati deve essere proporzionata e limitata nel tempo, con accessibilità controllata e tracciabilità degli accessi.
Spetta in ogni caso al titolare adottare tutte le misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati.