Con il Documento di indirizzo del 21.12.2023, il Garante per la privacy ha dettato precise disposizioni in tema di trattamento dei “metadati” delle e-mail aziendali.
Va in primo luogo chiarito l’esatto perimetro del citato provvedimento: per quanto può dedursi dal dettato dello stesso, il Garante intende riferirsi alle mails inviate e ricevute da caselle di posta aziendali, mail che, quindi, non possono che riguardare questioni ed affari dell’azienda per la quale il dipendente lavora.
I “metadati” poi sono i dati concernenti, ad esempio, data e ora dell’invio, mittente e destinatario e così via.
Il Garante, partendo da un’impropria o, quantomeno, improvvida interpretazione dell’art. 4 dello Statuto dei Lavoratori, afferma che l’archiviazione in cloud, anche utilizzando programmi di terze parti, di tali informazioni senza un limite temporale ben preciso, sarebbe illegittimo e, di conseguenza, stabilisce che i metadati possano essere archiviati: “ …. Di norma per poche ore o alcuni giorni, in ogni caso non oltre sette giorni, estensibili, in presenza di comprovata e documentata esigenza che ne giustifichino il prolungamento, di ulteriori 48 ore”.
Non esitiamo ad affermare che il provvedimento in commento è errato, non solo per l’errata interpretazione dell’art. 4 Statuto dei Lavoratori, ma anche per un errore tecnico che lascia perplessi: il Garante, infatti, considera come “strumento” di lavoro il computer, senza considerare che, nel caso di specie, lo strumento di lavoro è il programma e cioè l’applicazione per inviare, ricevere ed archiviare la posta elettronica.
In ogni caso il dettato dell’art. 4 citato è, o dovrebbe essere, chiaro: per tutti gli strumenti utilizzati per controllare la prestazione lavorativa si deve ottenere, da parte del datore di lavoro, una preventiva legittimazione. Ai sensi del comma 2 della norma, invece, tale legittimazione non è richiesta: per “…. strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa…”.L’applicazione utilizzata per la posta elettronica è uno strumento di lavoro.
Il Provvedimento in commento, tuttavia, è vigente e prudenza vuole che di esso se ne tenga conto.
In tal senso ed in primo luogo è bene che, con apposita comunicazione da far sottoscrivere da tutti gli interessati, si prescriva che le caselle di posta aziendali e cioè quelle con estensione nome lavoratori@azienda…debbano essere utilizzate solo per finalità lavorative, in secondo luogo, se si ritiene che l’archiviazione dei metadati non sia necessaria per una corretta gestione aziendale, conviene adeguarsi alla prescrizione del Garante.
Lo studio resta a disposizione per ogni chiarimento che fosse necessario.
Cordiali saluti.
(Avv. Giampiero Pino) (Avv. Luca Testa) (Avv. Eleonora Lepri)