Il Provvedimento del Garante Privacy del 6 giugno 2024: Implicazioni per le Imprese Italiane e Multinazionali sulla conservazione dei metadati di post@ dei dipendenti

Andrea Antognini - Of Counsel

Introduzione

Il 6 giugno 2024, il Garante per la Protezione dei Dati Personali ha emanato un importante provvedimento riguardante l'uso di programmi e servizi informatici per la gestione della posta elettronica dei dipendenti e il trattamento dei relativi metadati. Questo documento di indirizzo ha l'obiettivo di fornire linee guida per le imprese italiane ed estere, al fine di garantire la conformità alla normativa sulla protezione dei dati personali.

Quindi il documento del Garante ad un primo sguardo sembrerebbe non vincolante, ma non è proprio così, come si vedrà in seguito.

Contesto Normativo

Il provvedimento si basa su una serie di riferimenti normativi chiave, tra cui:

  • Il Regolamento (UE) 2016/679 (GDPR)

  • Il D.Lgs. 196/2003 (Codice della Privacy)

  • La Legge 20 maggio 1970, n. 300 (Statuto dei Lavoratori)

In particolare, il GDPR e il Codice della Privacy stabiliscono le condizioni per il trattamento lecito dei dati personali, mentre lo Statuto dei Lavoratori disciplina l'uso degli strumenti di controllo a distanza nel contesto lavorativo.

Obiettivi del Provvedimento

Il documento di indirizzo si propone di:

  1. Richiamare l'attenzione sui rischi associati alla raccolta preventiva e generalizzata dei metadati di posta elettronica da parte dei programmi informatici.

  2. Fornire indicazioni ai datori di lavoro sulla gestione dei metadati per garantire il corretto funzionamento del sistema di posta elettronica e la sicurezza informatica, senza violare i diritti dei lavoratori.

  3. Promuovere la consapevolezza delle scelte tecniche e organizzative dei datori di lavoro in conformità con la disciplina sulla protezione dei dati.

Rischi e Criticità

Il Garante ha rilevato che molti programmi e servizi di posta elettronica, soprattutto quelli offerti in modalità cloud, raccolgono metadati per impostazione predefinita, conservandoli per periodi prolungati. Tali metadati possono includere informazioni come indirizzi e-mail, indirizzi IP, orari di invio e ricezione, dimensioni dei messaggi e, in alcuni casi, anche l'oggetto dei messaggi. Questo trattamento preventivo e generalizzato dei metadati comporta rischi significativi per la privacy dei dipendenti, in quanto può condurre a un monitoraggio indiretto della loro attività.

Indicazioni per i Datori di Lavoro

Il Garante ha fornito specifiche raccomandazioni per i datori di lavoro, tra cui:

  • Limitare la raccolta e la conservazione dei metadati ai soli dati necessari per il corretto funzionamento e la sicurezza del sistema di posta elettronica.

  • Adottare periodi di conservazione brevi, preferibilmente non superiori a 21 giorni, salvo casi eccezionali adeguatamente giustificati.

  • Informare chiaramente i lavoratori sulle modalità e finalità del trattamento dei loro dati personali.

  • Assicurare che i fornitori di servizi di posta elettronica adottino misure di protezione dei dati fin dalla progettazione e per impostazione predefinita.

Profili di Interesse per le Imprese Straniere e Multinazionali

Per le imprese straniere e i gruppi multinazionali che operano in Italia o trattano dati di cittadini italiani, questo provvedimento assume particolare rilevanza. Tali aziende, che abbiano sede o come target cittadini italiani, devono infatti garantire che le loro pratiche di gestione dei dati siano conformi non solo al GDPR ma anche alle normative e prassi italiane.

Gestione dei Fornitori

Un altro aspetto cruciale riguarda la gestione dei fornitori di servizi cloud e software. Le imprese devono verificare che i loro fornitori rispettino le normative italiane ed europee sulla protezione dei dati. Questo include la necessità di selezionare fornitori che implementino misure di sicurezza adeguate e che siano disposti a conformarsi alle richieste specifiche di conservazione dei dati previste dal provvedimento del Garante.

Impatto sui Contratti di Lavoro

Per le imprese potrebbe essere necessario rivedere le policy privacy e le relative politiche aziendali per garantire che i dipendenti siano adeguatamente informati sui trattamenti dei loro dati personali ed i loro dati trattati in maniera lecita. Questo è essenziale non solo per la conformità normativa, ma anche per mantenere un clima di fiducia e trasparenza all'interno dell'azienda.

Conclusioni

Il provvedimento del Garante rappresenta un passo significativo verso una maggiore tutela della privacy dei lavoratori nel contesto digitale. Le imprese, italiane e multinazionali, devono adeguarsi alle nuove indicazioni per evitare sanzioni e garantire il rispetto dei diritti dei dipendenti. La gestione corretta dei metadati non solo protegge la privacy, ma contribuisce anche a creare un ambiente di lavoro più trasparente e sicuro.

Sebbene il documento del Garante Privacy non abbia carattere vincolante, discorsarsi dalle indicazioni in esso contenute, senza una motivazione coerente, potrebbe essere interpretato, dal Garante stesso (ad esempio durante una verifica), come una mancanza di accountability per le aziende e le pubbliche amministrazioni.

Per ulteriori dettagli, si consiglia di consultare il documento completo disponibile sul sito ufficiale del Garante per la Protezione dei Dati Personali​​.