Nel mese di dicembre è stata pubblicata un’Ordinanza del Garante Privacy destinata, inevitabilmente, a obbligare le aziende a fare delle verifiche sui propri meccanismi di controllo della posta elettronica dei dipendenti.
In particolare, il Garante, ha sanzionato i controlli della Regione Lazio sui metadati dell’e-mail dei dipendenti per violazione delle norme sulla riservatezza dei trattamenti dati (Regolamento UE 2016/679, di seguito anche solo GDPR) e degli articoli 113 e 114 del Codice Privacy in riferimento alle disposizione dello Statuto dei lavoratori.
Indice
L’attività sanzionata
Il caso nasce a partire dalla segnalazione di un sindacato che aveva lamentato un controllo posto in essere dall’amministrazione della Regione Lazio sulla posta elettronica del personale dipendente presso gli uffici dell’avvocatura regionale.
In particolare, l’Ente effettuava verifiche dei metadati relativi all’utilizzo della posta elettronica attraverso un fornitore terzo, il quale non accedeva al contenuto delle email o agli eventuali allegati, ma visualizzava dati come il giorno, l’ora, il mittente, il destinatario, l’oggetto e la dimensione dell’email stessa. I metadati relativi al traffico della posta elettronica dei dipendenti erano conservati per 180 giorni.
La decisione del Garante: le violazioni al GDPR
La Regione Lazio ha dichiarato che i controlli effettuati erano necessari principalmente per assicurare la sicurezza informatica e, in subordine per effettuare controlli difensivi sul proprio patrimonio.
Le giustificazioni del Titolare, tuttavia, non hanno convinto il Garante che ritiene che il controllo sulla posta elettronica dei dipendenti ha violato i principi del GDPR in quanto avvenuto in assenza di idonea informativa e di procedure “regolamentari e di uso della posta elettronica e della Rete” e senza il rispetto dei principi della Privacy by Design e Accountability.
Il Garante Privacy, pertanto, ha sanzionato la Regione Lazio perché il sistema di controllo della posta elettronica è avvenuto:
- in maniera non conforme ai principi di “liceità, correttezza e trasparenza”, “limitazione della conservazione” e “responsabilizzazione” , in violazione dell’art. 5, par. 1, lett. a) ed e), e par. 2, del Regolamento;
- omettendo di fornire agli interessati un’idonea informativa sul trattamento dei dati personali, in violazione degli artt. 12 e 13 del Regolamento: la Regione ha sì fornito un’informativa ai dipendenti, ma in essa comunicava solamente che si riservava di verificare l’integrità dei propri sistemi informatici, senza indicare le modalità o i tempi dei controlli;
- in maniera non conforme al principio di “protezione dei dati fin dalla progettazione e per impostazione predefinita”, in violazione dell’art. 25 del Regolamento;
- omettendo di effettuare una valutazione d’impatto sulla protezione dei dati, in violazione dell’art. 35 del Regolamento e su questo punto a nulla è servita la Valutazione di Impatto fatta dopo l’avvio del Procedimento istruttorio.
Infine, ma non in ordine di importanza, il trattamento della Regione Lazio è avvenuto in assenza di una idonea base giuridica e in maniera difforme alla disciplina di settore in materia di controlli a distanza dei lavoratori e raccolta di dati non pertinenti rispetto all’attività lavorativa (artt. 4 e 8 della l. n. 300/1970), in violazione degli artt. 5, par. 1, lett. a), 6 e 88, par. 1, del Regolamento, nonché 113 e 114 del Codice.
La decisione del Garante: il mancato rispetto della disciplina sui controlli a distanza dei lavoratori
La gestione dell’account di posta elettronica del dipendente è uno dei temi più controversi all’interno delle aziende e, contemporaneamente, tra i più vigilati dal Garante.
Non ci sono dubbi che al contenuto dei messaggi di posta debba essere garantito il segreto e la riservatezza, anche sui luoghi di lavoro, ma qualche considerazione diversa va fatta sui metadati dell’email.
Infatti, la conservazione dei metadati può essere giustificata sul presupposto della sua necessità per finalità di sicurezza informatica, ma poichè può comportare comunque un indiretto controllo a distanza dell’attività dei lavoratori deve rientrare nell’applicazione dell’articolo 4 dello Statuto dei Lavoratori.
È il tempo di conservazione dei metadati l’elemento fondamentale da definire, come precisato dal Garante.
Infatti, in più pronunce il Garante ha sempre giustificato la conservazione dei soli dati esteriori, contenuti nella cosiddetta “envelope” del messaggio, per una breve durata non superiore comunque ai sette giorni in quanto necessari per assicurare il corretto funzionamento della posta elettronica. Quindi, la conservazione dei metadati della posta elettronica entro i sette giorni non richiedeva né accordo sindacale, né autorizzazione dell’Ispettorato del lavoro, rientrando nella definizione di strumenti “serventi” del lavoratore e l’inevitabile trattamento dati era “giustificato” dalle necessità di sicurezza (art. 4, comma 2 Statuto dei Lavoratori).
Il problema, viceversa, si pone se il trattamento degli stessi dati viene prolungato per un tempo superiore ai sette giorni, come ha fatto la Regione Lazio.
Secondo il Garante “la generalizzata raccolta e la conservazione, per un periodo più esteso (rispetto ai predetti 7 giorni), dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti non possono, invece, essere ricondotte all’ambito di applicazione del comma 2 dell’art. 4 della l. n. 300/1970, rientrando, piuttosto, tra gli strumenti funzionali alla tutela dell’integrità del patrimonio informativo del titolare nel suo complesso, di cui al comma 1 del medesimo art. 4.”
In altri termini non è più garantire la sicurezza degli strumenti serventi del dipendente, ma garantire la sicurezza e l’integrità del patrimonio informativo del datore di lavoro/dipendente.
Pertanto, per poter effettuare il trattamento dei metadati della posta per 180 giorni, la Regione Lazio avrebbe dovuto sottoscrivere un accordo sindacale o chiedere e ottenere l’autorizzazione all’ispettorato del lavoro.
L’assenza di tale forma di garanzia ha comportato l’assenza di una base giuridica valida per il trattamento dei dati. Infatti, come precisato più volte dal Garante, i trattamenti conseguenti all’impiego degli strumenti tecnologici nei luoghi di lavoro, da cui può derivare un controllo indiretto sull’attività lavorativa, trovano la propria base giuridica nella disciplina di settore di cui all’art. 4 della l. n. 300/1970.
Non essendo questa correttamente attuata, il trattamento del dato è diventato illecito.
Infine, il trattamento della Regione ha comportato anche la violazione dell’art. 8 della l. 300/1970 poiché il datore di lavoro, grazie alla raccolta ed alla conservazione, per un lungo periodo di tempo, dei metadati della posta elettronica acquisisce informazioni sulla vita privata dei lavoratori.
Cosa deve fare un titolare del trattamento in applicazione di questa Ordinanza?
È innegabile che per la sicurezza informatica degli strumenti utilizzati dai dipendenti e, in generale, del sistema aziendale il trattamento dei metadati della posta elettronica è un flusso che non può essere trascurato. Viceversa, i tempi di conservazione degli stessi metadati possono variare di sistema in sistema.
Ne consegue che un primo passaggio che si consiglia di fare è verificare se i metadati della posta elettronica dei dipendenti vengono trattati in azienda. Successivamente, in caso di risposta affermativa verificare il tempo di conservazione degli stessi metadati e, qualora fosse superiore a sette giorni, valutarne l’effettiva necessità ai fini della cybersecurity.
Se la conservazione dei metadati della posta elettronica è superiore ai sette giorni ed è necessaria per finalità di sicurezza informatica, il consiglio è di procedere alla sottoscrizione dell’accordo sindacale o ottenere l’autorizzazione dell’ispettorato del lavoro. Così facendo il controllo diventa lecito in applicazione all’articolo 4 Statuto dei Lavoratori.
Lato adempimenti richiesti dal Regolamento Generale sulla protezione dei dati, viceversa si suggerisce di:
- verificare la correttezza dell’informativa sul trattamento dei dati e il rispetto del principio di trasparenza;
- valutare la conservazione e protezione dei metadati fin dalla progettazione e per impostazione predefinita (privacy by design e by default);
- redigere una Valutazione di Impatto Privacy.
Quest’ultima è sempre una buona prassi consigliata perché, se fatta correttamente, consente di avere contezza dei punti critici e di rischio di ciascun trattamento dati.