In una precedente circolare vi segnalavamo il provvedimento del Garante della Privacy secondo cui i metadati contenuti all’interno delle comunicazioni di posta elettronica aziendale, ovvero tutte quelle informazioni concernenti, ad esempio, data e ora dell’invio, mittente e destinatario e così via (definiti anche “log”), potrebbero consentire al Datore di Lavoro il controllo a distanza dei propri dipendenti.
Una tale impostazione avrebbe costretto tutti i titolari del trattamento dei dati a dotarsi di software aziendali che impedissero la conservazione dei suddetti dati per un periodo di tempo superiore a sette giorni o, in alternativa, ad adottare le garanzie individuate dall’art. 4 della L. 300/1970, prevedendo alternativamente un accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali, o l’autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro.
Vi avevamo altresì segnalato, in una successiva circolare che, a seguito delle numerose critiche e segnalazioni, il Garante si era visto costretto ad avviare una consultazione pubblica in merito alla congruità del termine di conservazione dei metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica, sospendendo l’efficacia del predetto documento di indirizzo.
Il nuovo provvedimento del 6 giugno 2024 conferma i nostri timori, già espressi al tempo, circa la sua correttezza. Afferma infatti il Garante che la conservazione dei log di posta elettronica può ritenersi legittima pur in assenza delle citate garanzie, in quanto riconducibile alla definizione di “strumento di lavoro” di cui all’art. 4 comma 2 dello Statuto dei Lavoratori, quando la loro conservazione, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione, sia necessaria ad assicurare il funzionamento delle infrastrutture del sistema di posta elettronica e, comunque, per un periodo che non dovrebbe di norma superare i 21 giorni.
Continua l’Autorità Garante sostenendo che “L’eventuale conservazione per un termine ancora più ampio potrà essere effettuata solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente […] la specificità della realtà tecnica ed organizzativa del titolare.”
In tutti gli altri casi vengono confermate le disposizioni per cui la conservazione dei metadati, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della legge 300/1970.
In buona sostanza, quindi, i metadati che sono informazioni tecniche raccolte automaticamente dall’applicazione utilizzata in azienda, non si possono conservare per più di due giorni, dopodiché dovrebbero essere cancellate.
Nella nostra opinione l’opinione fornita dal Garante della portata dell’art. 4 comma 2 dello Statuto dei Lavoratori parte da un presupposto errato e cioè che, attraverso la raccolta delle dette informazioni, si possa acquisire la conoscenza di opinioni orientamenti o, comunque, dati cosiddetti sensibile dei propri dipendenti. In realtà, tuttavia, l’indirizzo di posta elettronica aziendale, di proprietà dell’imprenditore, deve essere utilizzato solo per esigenze aziendali, un uso diverso comporterebbe un illecito, sanzionabile disciplinarmente.
Allo stato attuale, tuttavia, è opportuno fare una verifica con il proprio consulente informatico, onde assicurarsi che i ripetuti metadati non siano conservati dall’applicazione o dal sistema per più di ventuno giorni.
Vi terremo, ovviamente, informati sugli sviluppi.
Cordiali saluti.
(Avv. Luca Testa) (Avv. Giampiero Pino)
