Con il Provvedimento n. 642 del 21 dicembre 2023 (Documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”), pubblicato il 6 febbraio 2024, il Garante si è espresso sull’utilizzo in azienda dei programmi e servizi informatici per la gestione della posta elettronica in modalità cloud, ponendo le aziende e le organizzazioni di fronte ad un rilevante problema di gestione ed organizzazione del lavoro.
In breve, ad avviso del Garante, i sistemi di posta elettronica aziendale (con i metadati che essi contengono), con la relativa possibilità di controllo indiretto dell’attività dei lavoratori, non sarebbero considerabili quali “strumenti di lavoro” per i quali (ai sensi dell’art. 4, secondo comma dello Statuto dei Lavoratori) non è richiesta la procedura di accordo sindacale o di autorizzazione amministrativa; o, più precisamente, la predetta procedura non sarebbe necessaria solo fino ad un termine massimo di 7 giorni di conservazione delle e-mail (estensibile di 48 ore solo in presenza di comprovate e documentate esigenze che lo giustifichino).
Questo provvedimento – che offre un’interpretazione totalmente innovativa rispetto alla lettura della normativa finora unanimemente accolta dagli operatori – sarebbe determinato dal fatto che i programmi e servizi informatici per la gestione della posta elettronica, commercializzati in modalità cloud, possono raccogliere per impostazione predefinita (in modo preventivo e generalizzato) e conservare per un lungo arco temporale, i metadati degli account di posta elettronica (data, ora, mittente, destinatario, oggetto e dimensione) in uso ai lavoratori.
In vero, in occasione della riforma dell’art. 4 intervenuta ad opera del D. Lgs 151/2015, era stata introdotta la categoria degli “strumenti di lavoro” proprio per esentarli dalla procedura prevista per gli strumenti di possibile controllo a distanza legittimi (es. le telecamere).
Superfluo osservare quale rilevante impatto abbia un provvedimento di questo tipo per le aziende, tenuto conto che è, a dir poco, impensabile cancellare la corrispondenza aziendale dopo 7 giorni e ciò per molteplici imprescindibili esigenze, che vanno dalla organizzazione e gestione stessa dell’attività aziendale, alla necessità di documentare contratti e accordi, dichiarazioni, di dar prova di fatti, ecc. e che toccano diritti, tra cui l’organizzazione dell’impresa e del lavoro, il diritto di difesa, ecc..
I datori di lavoro tutti – in base a questo documento di indirizzo – dovrebbero, dunque, verificare le modalità di conservazione della posta elettronica presso eventuali servizi in cloud esterni di cui si avvalgono e, nel caso in cui ricorrano le ipotesi considerate dal Garante, adottare le misure necessarie per conformare il proprio trattamento alla disciplina di protezione dei dati attraverso le seguenti iniziative:
(i) il blocco preventivo della raccolta dei metadati o la previsione di limiti alla conservazione entro i 7 giorni, nelle impostazioni di base dei programmi (iniziativa teorica o “di scuola”, in quanto si tratta di una soluzione sostanzialmente impraticabile nell’ordinaria conduzione dell’impresa)
o in alternativa
(ii) l’accordo sindacale o, in mancanza, l’autorizzazione dell’Ispettorato del Lavoro (si tratterebbe, secondo le recenti Linea guida del Garante, di un passaggio sostanzialmente obbligato per qualsiasi impresa).
Il tutto, comunque (a) con una adeguata informativa ai lavoratori e (b) tenuto conto della raccolta e memorizzazione dei metadati, della “vulnerabilità” degli interessati nel contesto lavorativo e del rischio di “monitoraggio sistematico”, con una preventiva valutazione d’impatto sulla protezione dei dati (DPIA).
Per i datori di lavoro si presenta, pertanto, la necessità di effettuare verifiche interne sulle caratteristiche dei propri sistemi di gestione della posta elettronica aziendale e di valutare le iniziative da assumere – dovendosi anche riconsiderare le scelte già effettuate nel contesto precedente questo provvedimento innovativo – ai fini della compliance giuslavoristica e in materia di trattamento dei dati personali.
