Posta elettronica aziendale: stretta del Garante sui metadati

Nel caso di specie, il Garante ha sanzionato la Regione Lazio - per un ammontare complessivo di Euro 100.000,00 - a causa di una serie di lacune rilevate nell’ambito della gestione da parte del titolare dei sistemi di posta elettronica aziendali messi a disposizione dei propri dipendenti, con particolare riferimento ai metadati, ossia alle tracce degli invii dei messaggi, quali i dati esteriori relativi all’utilizzo degli stessi, contenuti nella cosiddetta "envelope" del messaggio (es. il giorno, l’ora, il mittente, il destinatario, l’oggetto e la dimensione dell’email).

Durante l’istruttoria, avviata dall’Autorità a seguito di una segnalazione proveniente da una sigla sindacale, è infatti emerso come la Regione provvedesse alla conservazione dei metadati relativi all’utilizzo della posta elettronica dei dipendenti per 180 giorni e come avesse proceduto a tale trattamento in assenza sia delle garanzie procedurali previste dall’art. 4, comma 1, della l. n. 300/1970 (accordo sindacale o, in alternativa, autorizzazione da parte dell’Ispettorato competente), sia di un’adeguata informativa ai sensi del 3 comma art. 4 della legge citata e 13 del Regolamento (UE) 2016/679 (“GDPR”).

A valle della propria analisi, il Garante ha rilevato che la generalizzata raccolta e la conservazione dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti per generiche finalità di sicurezza informativa per un periodo sì esteso, può comportare un indiretto controllo a distanza dell’attività dei lavoratori e rientra, pertanto, nell’ambito di applicazione del primo comma dell’art. 4 dello Statuto dei lavoratori, consentendo al datore di acquisire, nel corso dello svolgimento del rapporto di lavoro, informazioni sulla vita privata del lavoratore o su fatti comunque non rilevanti ai  fini della valutazione dell'attitudine professionale del lavoratore. 

Tale condotta si pone, altresì, in contrasto con i principi di limitazione della conservazione nonché di protezione dei dati personali fin dalla progettazione e per impostazione predefinita e comporta rischi specifici per i diritti e le libertà degli interessati nel contesto lavorativo, richiedendo obbligatoriamente la conduzione di apposita valutazione d’impatto sul trattamento dei dati personali ai sensi dell’art. 35 del GDPR e del Provvedimento n. 467 dell’11 ottobre 2018 “dell’Autorità, che delinea l’“Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati”.

Fatto salvo quanto sopra, il Garante riconosce espressamente la possibilità per il datore di lavoro di conservare i metadati in questione per un termine massimo di 7 giorni dalla loro registrazione, trattandosi di una misura necessaria ad assicurare il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica.

È poi interessante evidenziare che nel provvedimento in oggetto il Garante sembra avanzare, quanto meno per i profili data protection, delle riserve anche nei confronti dell’istituto giurisprudenziale dei c.d. “controlli difensivi”, richiamati dalla Regione Lazio a supporto del proprio operato, cioè quei controlli diretti ad accertare specificamente condotte illecite ascrivibili - in base a concreti indizi - a singoli dipendenti, che la Corte di Cassazione ancora oggi ritiene si pongano al di fuori del perimetro applicativo dell’art. 4 (cfr. Cass. 25731 e 25732 del 2021 e Cass. 34092/2021).

L’orientamento - rigido e restrittivo - mostrato dal Garante nel provvedimento in esame merita di essere tenuto in debita considerazione ai fini di una corretta gestione non solo dei sistemi di posta elettronica, ma più in generale dei sistemi informatici aziendali che, per loro stessa natura, tendono a tracciare le attività svolte mediante raccolta di metadati e log di sistema. 

Tenuto conto delle contestazioni mosse dall’Autorità, risulta opportuno valutare di porre in essere le seguenti misure:

Attività che, in concreto, si tradurranno nella necessità di: