Il Garante per la Protezione dei Dati Personali ha emanato un importante Provvedimento del 21 dicembre 2023 riguardante l’utilizzo dei programmi e servizi informatici per la gestione della posta elettronica in ambito lavorativo che ha chiaramente preoccupato i Titolari del trattamento che abbiano dipendenti (in qualità del loro essere Datori di Lavoro).
In virtù del prossimo evento di Privacy Academy del 20 Febbraio ho voluto fornire una sintesi con un minimo di conclusioni. Preciso che l’articolo è fortemente ispirato a quello di Christian Bernini.
1. Contesto e Normative:
- Il provvedimento si basa sul Regolamento (UE) 2016/679 (noto come GDPR) e sul Codice in materia di protezione dei dati personali.
- Si concentra sugli artt. 5, 6 e 88 del Regolamento e sugli artt. 113 e 114 del Codice.
- 2. Rischio dei Metadati:
Durante gli accertamenti, è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, forniti in modalità cloud, raccolgono automaticamente i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti.
Questi metadati includono informazioni come data, ora, mittente, destinatario, oggetto e dimensione dell’email MA NON SOLO, come vedremo meglio nel proseguio.
3. Limitazioni e Consapevolezza:
Talvolta, i fornitori limitano la possibilità di modificare le impostazioni di base di tali programmi per disabilitare la raccolta sistematica dei metadati o ridurne il periodo di conservazione.
Il Garante ha il compito di promuovere la consapevolezza riguardo a norme, obblighi, rischi e diritti stabiliti dal GDPR.
In realtà il provvedimento si rivolge prevalentemente ai fornitori di servizi di telecomunicazione perché sono loro che TRATTANO I METADATI e CHE SONO SOPRATTUTTO QUELLI, PRESENTI nelle interfacce web (Webmail) di accesso, e che sono utilizzati e registrati. Si precisa anche che somigliano molto ai dati registrati durante una navigazione web qualsiasi come:
*indirizzo IP, *browser utilizzato,
*dati del sistema operativo, *dell’hardware, *dimensioni del monitor, *stato della batteria e *tutti quei dati che il browser scambia con il sito web o con il portale di accesso alla posta tramite web, tanto cari alle funzioni di analytics
*cookie letti e scritti ma anche data e ora di collegamento, di invio di un messaggio, di scaricamento dei messaggi e di ogni altra operazione che genera righe di log
- client utilizzato e suoi dati specifici, programma, versione
- data ed ora del login
- data e ora e frequenza dei download
- data e ora dei collegamenti per l'upload
I dati invece a disposizione del datore di lavoro (inteso come quel TITOLARE che ha dipendenti e quindi tratta i loro dati anche mediante strumenti informatici, compresa la posta elettronica) sono solo quelli quelli derivanti da un router con funzionalità di filtro o analisi del traffico, uno sniffer, un sistema di analytics sul sito che ospita la posta elettronica.
Vediamo quindi le Indicazioni del Garante per i Datori di Lavoro
In pratica il Garante chiede ai datori di lavoro di fare innanzitutto una DPIA, avendo considerato che i Metadati sono a disposizione (prevalentemente) del Fornitore di telecomunicazione, e che quelli che eventualmente restano a disposizione del primo sono solo quelli che derivano dall’installazione di tecnologie invasive di controllo e che hanno la prerogativa di intercettare i metadati durante l’ordinario funzionamento dei sistemi come, per esempio, un router con funzionalità di filtro o analisi del traffico, uno sniffer, un sistema di analytics sul sito che ospita la posta elettronica o ancora nel caso gestiscano i datori gestiscano “in casa” la posta elettronica.
Di conseguenza il Garante dice, che in attuazione del principio di “responsabilizzazione” spetta al titolare valutare se i trattamenti che si intenda realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche - in ragione delle tecnologie impiegate e che si rende necessaria una preventiva valutazione di impatto sulla protezione dei dati personali.
Qualora dalla valutazione d’impatto emerga che le tecnologie invasive come i filtri per le black list e gli altri sistemi sopra citati, utilizzino i metadati come sopra descritti e non il semplice oggetto/data di ricezione, occorra garantire una maggiore tutela dei dati personali nell’ambito lavorativo, promuovendo la consapevolezza e la responsabilità da parte dei datori di lavoro e dei fornitori di servizi informatici.
4. Conclusioni
Per avvantaggiarsi delle garanzie date dall’art. 4 secondo comma della Legge 300 del 1970, che andrebbe a considerare tali strumenti come attinenti alla prestazione lavorativa, è necessario cancellare i metadati derivanti dalle tecnologie invasive entro massimo una settimana, più 48 ore.
Se invece non si voglia cancellare i metadati si applica il primo comma dello stesso articolo occorrendo quindi la procedura concertativa che si realizza mediante l’accordo sindacale o l’autorizzazione dell’Ispettorato del lavoro.
di Monica Gobbato
