Obbligo di bloccare o limitare a 7 giorni (prorogabili di 48 ore) la raccolta dei metadati delle e-mail aziendali. Per conservarli per un periodo più a lungo (da stabilire) occorre un accordo sindacale o l’autorizzazione dell'Ispettorato del lavoro in quanto ai sensi dello Statuto dei lavoratori, è una forma di controllo a distanza che viola la riservatezza dei lavoratori. I titoli di alcune pubblicazioni, anche specializzate, non aiutano certo a dissipare i dubbi che crea il provvedimento del Garante che risale al 21 dicembre 2023 ed è stato reso pubblico con una nota dello scorso sei febbraio e di cui, nell’introduzione, riassumiamo la sostanza.

È opportuno precisare il Garante non dice in alcun punto del documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” ciò che un’impresa deve fare per adeguarsi. Del resto, l’autonoma e la libertà di scelta del Titolare sono garantite nell’applicazione del GDPR e l’individuazione delle modalità di applicazione della disciplina alla loro realtà. Tuttavia, il contenuto ed il senso del documento possono portare alla conclusione che le mail debbano necessariamente essere cancellate o mozzate di una loro parte fondamentale. Una conclusione che avrebbe un impatto devastante sulle aziende che, necessariamente, a fini organizzativi e gestionali, debbono tenere traccia della corrispondenza, a volte anche quella minima, non solo per eseguire contratti o altre prestazioni, ma anche per tutelarsi in caso di contestazioni e contenziosi.


Per approfondire > Email di lavoro dei dipendenti: i datori devono cancellare i metadati entro 7 giorni?

Altra precisazione, il Garante è molto attento a precisare che questo suo intervento riguarda i metadati e il loro periodo di conservazione degli account di posta elettronica in uso ai dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione di una e-mail). Tutto ciò sulla base di accertamenti, verosimilmente mossi da una o più contestazioni, nel mondo del lavoro.

Da detti accertamenti è emersa una circostanza, peraltro nota agli addetti ai lavori, che i programmi per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud o as a service, raccolgono con impostazione predefinita i metadati relativi all’utilizzo degli account di posta usati dai dipendenti per un lasso temporale a volte neppure definito e senza la possibilità di modificare le impostazioni del programma per disabilitare la raccolta e la conservazione.

Questo sistema, posto in essere per lo più dai grandi players del settore, Google e Microsoft in primis è, secondo il nostro Garante, una violazione dei diritti dei lavoratori e della loro corrispondenza nonché una forma di controllo da parte del datore di lavoro, nonché degli artt. 113 e 114 del D. Lgs. 196/2003 mai abrogati e che fanno esattamente salve le disposizioni dello Statuto dei lavoratori rispetto al codice privacy. Ecco, pertanto, che ogni datore di lavoro, per adempiere al dettato del GDPR che richiede una base per il trattamento dati e, allo stesso tempo, per rispettare l’art. 4 dello Statuto dei lavoratori, dovrà eseguire una nuova ulteriore valutazione di impatto ai sensi dell’art. 35 del Regolamento e, all’esito, prima di tutto, rivedere le proprie informative per permettere ai lavoratori di avere una “chiara rappresentazione del complessivo trattamento effettuato.”

Dalla lettura del provvedimento, che come sempre non fornisce indicazioni di che cosa fare e come farlo da parte delle aziende, sembra che i maggiori destinatari siano le grandi aziende che mettono a disposizione i programmi “incriminati” ma, di fatto, le conseguenze maggiori saranno a carico di aziende medie e piccole che, da quanto è possibile leggere, saranno soggette a controlli e sanzioni da parte del Garante in caso di mancato adeguamento o ricorso ad accordi tramite le procedure sindacali. Ma resta, in ogni caso, per l’azienda, una previsione temporale di conservazione del dato che, per il Garante, non può superare i sette giorni estendibili al massimo di 48 ore.

Difficile, se non impossibile che le aziende possano adeguarsi perché ciò potrebbe, in alcuni casi, condurre non solo al rischio della stessa sopravvivenza aziendale perché vorrebbe dire perdere la memoria di tutta (o quasi) l’attività compiuta dal personale. Inoltre, il Garante, nel proteggere la riservatezza dei lavoratori ed evitare forme di controllo da remoto, dimentica innanzitutto che le mail date in uso ai dipendenti sono, ancorché personali, destinate esclusivamente ad utilizzo per motivi di lavoro e che il loro contenuto è sempre e comunque patrimonio aziendale e elemento di cicli di lavorazione. Possiamo aggiungere che il nostro garante, questa volta, ha omesso di considerare l’art. 2086 Codice Civile nella nuova formulazione.

Quasi sicuramente il provvedimento, già oggetto di critica, sarà rivisto o modificato, in quanto comporterà costi non indifferenti e anche possibili criticità gestionali per aziende di medio o piccole dimensioni. In ogni caso si pone per tutti il problema se mantenere gli account personali dei lavoratori o adottare altre forme di sicurezza e protezione delle mail anche a fronte della già esistente previsione di cancellazione degli account dei dipendenti al momento della cessazione del rapporto di lavoro.

Dovremo tornare sull’argomento.