Nel dettaglio, il Garante:
a) ha rilevato il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (e.g., giorno, ora, mittente, destinatario, oggetto e dimensione dell’email), conservando gli stessi per un esteso arco temporale;
b) ha evidenziato che tale ampia conservazione si pone in contrasto con diverse disposizioni, tra cui quelle che vietano il monitoraggio a distanza dei dipendenti;
c) ha ribadito che i trattamenti da cui possa derivare il monitoraggio a distanza dei dipendenti debbano avvenire nel rispetto dell'art. 4 dello Statuto dei Lavoratori (l. n. 300/1970) (e.g., per finalità predeterminate, previo accordo con le rappresentanze sindacali).
In questo contesto, il Garante ha dunque statuito che l’attività di raccolta e conservazione dei soli metadati necessari al funzionamento del sistema di posta elettronica non può essere superiore di norma a poche ore o ad alcuni giorni, in ogni caso non oltre sette, che, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, sono estendibili di ulteriori 48 ore. La conservazione per un lasso di tempo più esteso, potendo comportare un indiretto controllo a distanza dei lavoratori, richiede l'espletamento delle garanzie previste dall'art. 4 dello Statuto dei Lavoratori.
Alla luce di quanto precede, al fine di prevenire eventuali responsabilità sul piano amministrativo e penale, i datori di lavoro, in qualità di titolari del trattamento dei dati personali dei propri dipendenti, sono tenuti a:
a) anche ove utilizzino programmi e servizi informatici di terzi per la gestione della posta elettronica in uso ai dipendenti, verificare, con la dovuta diligenza, il rispetto dei principi generali del trattamento, adottando tutte le misure di sicurezza tecniche e organizzative necessarie e impartendo le necessarie istruzioni al fornitore del servizio, nonché constatando la possibilità di modificare i tempi di conservazione dei metadati nel rispetto dei termini indicati dal Garante;
b) nel caso in cui, per esigenze produttive, si rendano necessari periodi di conservazione più ampi, adeguarsi, prima dell'inizio del relativo trattamento, al disposto dell'art. 4 dello Statuto dei Lavoratori e, in ogni caso, determinare detti periodi in modo conguo e proporzionato rispetto alle legittime finalità perseguite (e.g., sicurezza informatica, tutela del patrimonio informativo);
c) astenersi dall'utilizzo ulteriore di tali dati (in particolare, per effettuare indagini sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore);
d) rispettare l'obbligo di trasparenza nei confronti dei lavoratori, fornendo agli stessi idonea informativa sul trattamento dei dati personali cui sono sottoposti.
Francesco Falco, Chiara Arcidiacono, Livia Lo Dico
