In data 6 giugno 2024, il Garante per la Protezione dei Dati Personali (“Garante”) ha pubblicato un aggiornamento significativo sul documento di indirizzo riguardante i metadati[1], nel contesto degli strumenti informatici utilizzati per la gestione della posta elettronica nei luoghi di lavoro. Questo nuovo provvedimento segue il precedente documento emanato il 21 dicembre 2023, denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”[2]. In risposta ai diffusi timori scaturiti dal documento di dicembre[3] e alle numerose richieste di chiarimento pervenute, il Garante aveva temporaneamente sospeso l’efficacia di quest’ultimo, e avviato una consultazione pubblica[4], conclusasi solo recentemente. Questo processo ha portato alla revisione e all’adozione di una versione aggiornata delle linee guida, finalizzata a fornire indicazioni più dettagliate sui criteri da seguire per la conservazione dei metadati. In particolare, il nuovo provvedimento mira anche a chiarire l’applicazione delle cautele necessarie per garantire il corretto funzionamento e l’adeguato utilizzo dei sistemi di posta elettronica aziendali.
Cosa si intende per metadati
Immaginando di avere una lettera imbustata tra le mani, potremmo identificare come metadati quelle informazioni che riusciremmo a carpire senza aprire l’involucro, come il nome, cognome e indirizzo del destinatario e/o del mittente. È intuitivo, quindi, come il contenuto della busta, incluso il testo della lettera, non rientri nella definizione di metadato. Applicando il medesimo criterio alle comunicazioni elettroniche, il Garante delinea il campo di applicazione delle nuove prescrizioni, fornendo una precisa definizione di metadati[5]. Questi sono identificati come l’insieme strutturato di intestazioni tecniche che documentano l’instradamento del messaggio, la sua provenienza ed altri parametri tecnici, che sono automaticamente raccolte nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA) e dalle postazioni terminali durante l’interazione tra i vari server e, se del caso, tra questi e i client (le postazioni terminali che inviano messaggi e permettono la consultazione delle caselle di posta elettronica, definite nei protocolli tecnici come MUA – Mail User Agent). I metadati, pertanto, non devono essere confusi con le informazioni contenute nel corpo delle e-mail o nei loro allegati. È importante sottolineare, quindi, che le linee guida fornite, lungi dal trattare il contenuto dei messaggi di posta elettronica, si concentrano sulle operazioni di invio, ricezione e smistamento dei messaggi, includendo dati come gli indirizzi dei mittenti e dei destinatari, gli indirizzi IP dei server o dei client, gli orari di invio, la ritrasmissione, la ricezione, le dimensioni dei messaggi, la presenza e le dimensioni degli allegati, e, a seconda del sistema di gestione della posta utilizzato, persino l’oggetto del messaggio spedito o ricevuto, senza, però, riguardare mai il contenuto del messaggio stesso.
È arrivata la rivoluzione?
No, nessuna rivoluzione in corso. Il Garante stesso specifica come il provvedimento non rechi nuove prescrizioni, né introduca nuovi adempimenti, ma si limiti a fornire una ricostruzione sistematica delle disposizioni già applicabili in materia, richiamando punti di intersezione tra la disciplina di protezione dei dati e le norme che stabiliscono le condizioni per l’impiego degli strumenti tecnologici nei luoghi di lavoro.
Il coinvolgimento della disciplina giuslavoristica
Il documento di indirizzo mira a fornire ai datori di lavoro regole specifiche per un utilizzo rispettoso dei sistemi di posta elettronica aziendali, conforme agli articoli 113 e 114 del Decreto Legislativo n. 196 del 30 giugno 2003 (“Codice della Privacy”) e all’articolo 4 della Legge n. 300 del 20 maggio 1970 (“Statuto dei Lavoratori”). Infatti, l’uso di tali dati ha implicazioni significative sul piano della disciplina del diritto del lavoro, poiché i metadati menzionati dal Garante sono registrati automaticamente dai sistemi di posta, e indipendentemente dalla volontà dei lavoratori. Pertanto, è necessario adottare adeguate misure di sicurezza per garantire tre livelli di tutela distinti: i) in primo luogo, circa il contenuto dei messaggi di posta elettronica, che, in quanto forma di corrispondenza in cui è legittima un’aspettativa di riservatezza, viene tutelato ai sensi degli articoli 2 e 15 della Costituzione[6]; ii) in secondo luogo, sulla gestione delle informazioni che, pur raccolte in ambito lavorativo, potrebbero non essere rilevanti per questi fini. Nel raccogliere e memorizzare i log della posta elettronica, il datore di lavoro deve rispettare le normative che vietano il trattamento di informazioni non pertinenti per la valutazione dell’attitudine professionale del lavoratore o riguardanti la sua sfera privata (articolo 8 dello Statuto dei Lavoratori)[7]; iii) da ultimo, va considerato il rischio che la raccolta e la memorizzazione dei log della posta elettronica possano comportare controlli a distanza sui lavoratori, violando così quanto previsto dall’articolo 4, comma 1 dello Statuto dei Lavoratori[8].
Il compromesso prospettato dal Garante: perché è importante limitare la conservazione dei metadati?
Occorre considerare come l’articolo 4, comma 1, dello Statuto dei Lavoratori, individui due prerogative essenziali che permettono al datore di lavoro di utilizzare strumenti di controllo a distanza dell’attività dei lavoratori: l’implementazione di tali sistemi deve rispondere a finalità tassative (esigenze organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio) e il controllo deve essere autorizzato da un accordo sindacale o, in assenza di rappresentanze sindacali in azienda, da un provvedimento del competente Ispettorato Territoriale del Lavoro. Lo stesso articolo, al comma 2, specifica che tale norma non si applica agli strumenti utilizzati dai lavoratori per eseguire la prestazione lavorativa, nonché ai sistemi di registrazione delle presenze[9]. Su queste premesse, il Garante afferma che la raccolta e la conservazione dei metadati/log, pur finalizzata a garantire il corretto funzionamento dei sistemi di posta elettronica, comporta inevitabilmente un monitoraggio dei dipendenti. Pertanto, per garantire la conformità alla normativa, occorre che tale attività venga effettuata per un periodo limitato individuato in un massimo di ventuno giorni[10]. Per contro, una conservazione per un periodo più lungo può essere effettuata solo previa valutazione della sussistenza di condizioni che ne rendano necessaria l’estensione: è compito del Titolare del trattamento adottare tutte le misure tecniche e organizzative per assicurare il rispetto del principio di limitazione delle finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciabilità degli accessi effettuati. Diversamente, la raccolta generalizzata, nonché la conservazione indiscriminata e superiore ai tempi indicati di tutti i log degli account di posta dei dipendenti potrebbe comportare un controllo a distanza degli stessi, richiedendo quindi le cautele previste dall’articolo 4, comma 1, dello Statuto dei Lavoratori, tra cui la necessità di raggiungere un previo accordo sindacale o un’autorizzazione dell’Ispettorato Territoriale del Lavoro competente. Peraltro, non passa inosservato come, dai dati esteriori delle corrispondenze, possa derivare l’acquisizione di informazioni riferite alla sfera personale o alle opinioni dell’interessato-lavoratore, delineandosi un ulteriore profilo critico circa la conservazione “a oltranza” del metadato[11].
La palla al Titolare: cosa occorre fare
Il Garante prosegue specificando i compiti del Titolare del trattamento, raccomandando in primis l’adozione di misure che garantiscano la protezione del dato “per impostazione predefinita”[12], ovvero nella misura necessaria e sufficiente per le finalità del trattamento, come la necessità di garantire la sicurezza dei sistemi informatici aziendali, e per il solo periodo strettamente necessario al raggiungimento di tali scopi. Viene peraltro precisato che, anche quando il datore utilizza prodotti e/o servizi di terzi, questi deve essere attore primario nella verifica della conformità ai principi applicabili al trattamento dei dati, assicurandosi che il fornitore adotti tutte le misure tecniche e organizzative necessarie, e impartendo istruzioni ove necessario. In questo senso, il Titolare dovrà garantire che siano disattivate le funzioni incompatibili con le proprie finalità di trattamento o in contrasto con specifiche norme di settore, ad esempio, commisurando i tempi di conservazione dei dati o chiedendo al fornitore di anonimizzare i metadati raccolti nei casi in cui non sia necessario effettuare una conservazione più prolungata. Infine, viene richiesto agli stessi fornitori un contributo attivo nel verificare che i Titolari del trattamento adempiano concretamente alla protezione dei dati, bilanciando le esigenze di commercializzazione su larga scala dei prodotti con la conformità degli stessi ai principi del GDPR.
Conclusioni
Il Garante conclude statuendo che i datori di lavoro pubblici e privati dovranno adottare le misure necessarie a conformare i propri trattamenti alla disciplina di protezione dati e a quella di settore. Più particolarmente, spetterà al titolare-datore verificare con la dovuta diligenza che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente se prodotti di mercato in modalità cloud o as-a-service[13] – consentano all’utente-datore di lavoro di poter modificare le impostazioni di default, impedendo la raccolta dei metadati o limitandola[14]. Ciò detto, i fornitori di servizi di posta elettronica sono colossi che operano a livello globale e, pertanto, vien da chiedersi se il titolare del trattamento, che nel tessuto economico italiano è tipicamente un piccolo o medio imprenditore, abbia realmente voce in capitolo rispetto all’adozione di misure tali da conformarsi al provvedimento del Garante. Cambiando argomento, il documento in esame, pur distinguendosi per la “premura” nei confronti della privacy dei lavoratori, e pur dimostrando una maggiore comprensione delle dinamiche aziendali rispetto alla pubblicazione del dicembre 2023, si presenta tuttavia con stringenti vincoli per la gestione dei metadati associati alla posta elettronica aziendale. Il limite di 21 giorni, infatti, rappresenta una sfida significativa per le aziende, poiché tali dati sono essenziali per l’indicizzazione e il recupero delle e-mail, fornendo informazioni cruciali come data, ora, mittente, destinatario, oggetto e dimensione. Tra l’altro la limitazione in oggetto rischia di creare seri problemi per le aziende nel gestire contenziosi, in quanto, una comunicazione elettronica non accompagnata dai relativi metadati, potrebbe senz’altro avere un valore probatorio meno determinante. Resta vero che il Garante propone una soluzione per estendere il periodo di conservazione dei metadati attraverso:
- il meccanismo previsto dall’art. 4 dello Statuto dei lavoratori tale per cui si richiede un accordo sindacale o, in assenza di tale accordo, l’autorizzazione dell’Ispettorato del Lavoro;
- con riferimento alla normativa applicabile in materia data protection, la conduzione di una previa valutazione d’impatto ai sensi dell’art. 35 del GDPR e la realizzazione di un rigoroso test di bilanciamento dei legittimi interessi del titolare con le esigenze di riservatezza dei dipendenti (cui si aggiunge, in ogni caso, la fornitura di dettagliate informazioni al soggetto assegnatario della casella di posta elettronica).
In definitiva, da un lato, assicurare un’eliminazione di tutti i metadati entro il termine di 21 giorni previsti dal provvedimento potrebbe comportare seri rischi per l’operatività aziendale e quindi, da ultimo, per il business stesso delle aziende; dall’altro, per poter superare il predetto limite temporale tutte le imprese (anche medio/piccole) dovrebbero fronteggiare gli adempimenti sopra elencati, ivi incluso concludere accordi sindacali ex art. 4 dello Statuto dei Lavoratori od ottenere la preventiva autorizzazione dell’Ispettorato Territoriale del Lavoro (ITL), indipendentemente da una reale intenzione della Società di procedere con un successivo controllo dei contenuti della posta elettronica aziendale. Quanto sopra rappresenta di certo un ulteriore e nuovo onere per le aziende, soprattutto per quelle di dimensioni medio/piccole che, sino ad oggi, utilizzavano la posta elettronica aziendale senza rivolgere particolari attenzioni ai metadati e al loro utilizzo nell’ambito di eventuali controlli a distanza. Al tempo stesso, però, questo provvedimento potrebbe rappresentare un’opportunità, intesa nella necessità (forzata dalla legge) di regolamentare (con accordi sindacali o autorizzazioni dell’ITL) non solo la conservazione e la tenuta dei metadati (nonché eventualmente delle relative e-mail), ma anche il loro eventuale controllo da parte dei datori di lavoro, sino ad oggi spesso realizzato di fatto in assenza di specifiche intese/autorizzazioni.
[1] Per la consultazione del documento di indirizzo (giugno 2024), si veda il seguente LINK.
[2] Per la consultazione del documento di indirizzo (dicembre 2023), si veda il seguente LINK.
[3] Più particolarmente, Il termine di 7 giorni e le prescrizioni in relazione alla necessità di un accordo sindacale o dell’autorizzazione dell’ispettorato del lavoro competente, ex articolo 4, comma 1, dello Statuto dei lavoratori, avevano allarmato diversi attori nel contesto d’impresa.
[4] Per la consultazione dell’avviso pubblico di avvio della consultazione, si veda il seguente LINK.
[5] In generale, i metadati sono delle descrizioni o informazioni aggiuntive che caratterizzano un dato principale. Un esempio comune di metadati è la scheda di catalogo di una biblioteca, che contiene informazioni dettagliate sul contenuto e sulla posizione di un libro, fornendo quindi dati aggiuntivi che si riferiscono al libro stesso. Altri esempi di metadati includono l’identificazione della fonte o dell’autore dei dati, le modalità di accesso e le eventuali restrizioni.
Più specificamente, nell’ambito degli archivi digitali, i metadati sono quelle informazioni necessarie al documento informatico, al fine di poterlo creare nel modo corretto, di poterlo gestire e conservare nel tempo. Il documento originale (informatico), essendo un documento virtuale, non ha la componente materiale costituita dalla carta e viene così memorizzato in sistemi che contengono tantissimi oggetti digitali.[6] Si veda il par. 2 del Documento di Indirizzo: “… il contenuto dei messaggi di posta elettronica – come pure i dati esteriori delle comunicazioni e i file allegati – riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente (artt. 2 e 15 Cost.), che proteggono il nucleo essenziale della dignità della persona e il pieno sviluppo della sua personalità nelle formazioni sociali. Ciò comporta che, anche nel contesto lavorativo pubblico e privato, sussista una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza …”.
[7] Si ricordi che, ai sensi dell’articolo 8 dello Statuto dei Lavoratori, “… È fatto divieto al datore di lavoro, ai fini dell’assunzione, come nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore …”.
[8] Si ricordi che, ai sensi dell’articolo 4, comma 1, dello Statuto dei Lavoratori, “… Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione delle sede territoriale dell’Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell’Ispettorato nazionale del lavoro. I provvedimenti di cui al terzo periodo sono definitivi …”.
[9] Per ulteriori informazioni in tema di controlli a distanza, si veda il nostro precedente contributo al seguente LINK.
[10] Si veda il par. 3 del Documento di Indirizzo: “… Alla luce delle disposizioni richiamate, affinché sia ritenuto applicabile il comma 2 dell’art. 4 della L. n. 300/1970, l’attività di raccolta e conservazione dei soli metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione, si ritiene che possa essere effettuata, di norma, per un periodo limitato a pochi giorni; a titolo orientativo, tale conservazione non dovrebbe comunque superare i 21 giorni …”.
[11] Si veda il par. 4.1 del Documento di Indirizzo: “… Sotto tale profilo, si ricorda che, fin dal 1970, al datore di lavoro pubblico e privato è fatto divieto di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore …”.
[12] Con tale terminologia si intende richiamare il concetto di privacy by default (protezione per impostazione predefinita), espresso nell’articolo 25, par.2, GDPR, il quale prevede, appunto, che per impostazione predefinita le imprese trattino solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini. Occorrerebbe, quindi, progettare il sistema di trattamento di dati garantendo la non eccessività dei dati raccolti.
[13] Con tali terminologie si fa riferimento – nel contesto della posta elettronica – a sistemi di gestione della messaggistica aziendale, sia interna che rivolta verso l’esterno, basati su dati che fanno capo a un server web, quindi dematerializzato e non più localizzato in un server fisico. Dunque, tutti i messaggi, gli allegati, le attività di sincronizzazione e backup sono gestiti a livello centrale, da un provider esterno, e con uno spazio di archiviazione pressoché illimitato (si pensi, fra tutti, a Microsoft Outlook).
[14] Si veda il par. 5 del Documento di Indirizzo.