Email dei dipendenti. I file di log vanno conservati per 21 giorni
Con il Documento di indirizzo del 6 giugno 2024, denominato Programmi e Servizi informatici della posta elettronica nel contesto lavorativo e trattamento dei metadati, il Garante per la protezione dei dati personali, interviene nuovamente in materia di gestione delle email dei dipendenti per richiamare l’attenzione dei titolari del trattamento su tale delicata tematica anche alla luce dei provvedimenti sanzionatori emanati dall’Autorità medesima.
L’odierno provvedimento fornisce utili indicazioni sui criteri da utilizzare per individuare il giusto periodo di conservazione dei file di log connessi ai messaggi di posta elettronica, ai fini dell’applicazione dell’eccezione contenuta nell’art. 4, comma 2, della l. 20 maggio 1970, n. 300 rispetto alla regola di cui al comma 1, per assicurare il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica, comprese le essenziali garanzie di sicurezza informatica.
Inoltre, il Garante, nel documento, per una maggiore chiarezza fornisce la definizione di metadato, richiamando altresì l’attenzione dei fornitori dei servizi di posta elettronica sulla necessità di tenere in considerazione il diritto alla protezione dei dati conformemente allo stato dell’arte, già in fase di progettazione di servizi e prodotti.
Analizziamo, dunque, più in dettaglio gli argomenti affrontati dall’Autorità
Le disposizioni generali sul trattamento dei dati via email
Nel documento, l’Autorità rammenta che il contenuto dei messaggi di posta elettronica (compresi i dati esteriori della comunicazione e i file allegati) è assistito da garanzie di segretezza tutelate anche a livello costituzionale (artt. 2 e 15 Cost.), che proteggono il nucleo essenziale della dignità della persona e il pieno sviluppo della sua personalità nelle formazioni sociali.
Da tali garanzie deriva una legittima aspettativa di rispetto della riservatezza in relazione ai messaggi di posta elettronica scambiati nel contesto lavorativo, sia esso pubblico che privato (v. punto 5.2 lett. b), delle "Linee guida del Garante per posta elettronica e Internet" del 1° marzo 2007, n. 13, doc. web n. 1387522; cfr., tra i tanti, provv. 4 dicembre 2019, n. 216, doc. web n. 9215890 e i precedenti in esso citati).
Ciò posto il datore di lavoro, in quanto titolare del trattamento, è tenuto a controllare la sussistenza di un idoneo presupposto di liceità (cfr. artt. 5, par. 1, lett. a), e 6 del Regolamento) prima di effettuare trattamenti di dati personali dei lavoratori (gli interessati) attraverso i programmi e i servizi in uso in azienda, rispettando le condizioni per il lecito impiego di strumenti tecnologici nel contesto lavorativo (art. 88, par. 2, del Regolamento).
Il datore di lavoro, dunque, dovrà sempre verificare la sussistenza dei presupposti di liceità di cui all’art. 4 della l. 20 maggio 1970, n. 300, cui fa rinvio l’art. 114 del Codice Privacy, nonché il rispetto delle diposizioni che gli vietano di acquisire e comunque trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata (art. 8 della l. 20 maggio 1970, n. 300 e art. 10 d.lgs. 10 settembre 2003, n. 276, cui fa rinvio l’art. 113 del Codice). Gli artt. 113 e 114 del Codice sono infatti considerati, nell’ordinamento italiano, disposizioni più specifiche e di maggiore garanzia di cui all’art. 88 del Regolamento, la cui osservanza costituisce una condizione di liceità del trattamento e la cui violazione determina, oltre all’applicazione di sanzioni amministrative pecuniarie ai sensi dell’art. 83, par. 5, lett. d) del Regolamento, anche il possibile insorgere di responsabilità sul piano penale (cfr. art. 171 del Codice).
Il titolare del trattamento è inoltre tenuto a rispettare i principi generali del trattamento (artt. 5, 24 e 25 del Regolamento) e a creare le condizioni per il rispetto delle disposizioni normative in materia di protezione dei dati personali (v. artt. 12, 13, 14, 30, 32 e 35 del Regolamento), fornendo altresì ai suoi dipendenti, in quanto interessati al trattamento una chiara informazione rispetto al trattamento effettuato dei loro dati personali, al fine di renderli consapevoli sulle modalità attraverso le quali ha intenzione di effettuare tale trattamento.
Inoltre, in virtù del principio di “responsabilizzazione” (cfr. art. 5, par. 2, e 24 del Regolamento), deve verificare il livello di rischio presente nel trattamento e, qualora tale rischio fosse elevato, approntare tutte le misure per attenuarlo, attraverso una effettiva e preventiva valutazione di impatto sulla protezione dei dati personali (cfr. cons. 90 e artt. 35 e 36 del Regolamento) e ciò vale, per quel che qui interessa, anche, in caso di raccolta e memorizzazione dei log della posta elettronica, stante la particolare “vulnerabilità” degli interessati nel contesto lavorativo, nonché il rischio di “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti”.
La disciplina di settore in materia di controlli a distanza
Il Garante, nel provvedimento richiama poi la disciplina di settore, ossia l’art. 4, comma 1, l. 20 maggio 1970, n. 300, come modificato dal d.lgs. 14 settembre 2015, n. 151, in materia di controlli a distanza dei dipendenti, sottolineando che, affinchè, nell’ambito della gestione della posta elettronica in azienda, trovi applicazione l’eccezione di cui all’articolo 4 comma 2 dello Statuto dei lavoratori (da interpretarsi in senso restrittivo), secondo cui, solo gli strumenti preordinati, anche in ragione delle caratteristiche tecniche di configurazione, alla “registrazione degli accessi e delle presenze” e allo “svolgimento della prestazione”, non soggiacciono ai limiti e alle garanzie di cui al primo comma, in quanto funzionali a consentire l’assolvimento degli obblighi che discendono direttamente dal contratto di lavoro, vale a dire, la presenza in servizio e l’esecuzione della prestazione lavorativa, l’attività di raccolta e conservazione dei soli metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione, si ritiene che possa essere effettuata, di norma, per un periodo limitato a pochi giorni; a titolo orientativo, tale conservazione non dovrebbe comunque superare i 21 giorni.
L’eventuale conservazione per un termine più lungo potrà essere effettuata, solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente, in applicazione del principio di accountability previsto dall’art. 5, par. 2, del Regolamento, le specificità della realtà tecnica e organizzativa del titolare. Il titolare deve comunque adottare tutte le misure tecniche ed organizzative per garantire il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati.
Adottare un termine più esteso per la raccolta e la conservazione dei file di log della posta elettronica potrebbe comportare un indiretto controllo a distanza dell’attività dei lavoratori, facendo rientrare tale raccolta e conservazione nell’articolo 4 comma 1 della Legge n. 700/1970 che richiede l’esperimento delle garanzie ivi previste, restando fermo che anche in tal caso dovrà essere rispettato il principio di limitazione della conservazione.
Rispettare i principi di correttezza e trasparenza
Il Garante richiama tutti i titolari del trattamento a verificare che la raccolta e la conservazione dei log avvengano nel rispetto dei principi di correttezza e trasparenza nei confronti dei lavoratori e che i lavoratori siano stati adeguatamente informati sul trattamento dei dati personali relativi alle comunicazioni elettroniche che li riguardano (cfr. artt. 5, par. 1, lett. a), 12, 13 e 14 del Regolamento).
A questo proposito è essenziale che gli interessati siano resi pienamente consapevoli delle complessive caratteristiche del trattamento (specificando i tempi di conservazione dei dati, gli eventuali controlli, ecc.).
Necessario individuare i tempi di conservazione dei file di log
I tempi di conservazione dei metadati devono in ogni caso essere definiti e individuati e devono essere proporzionati rispetto alle legittime finalità perseguite. In particolare, finalità connesse alla sicurezza informatica e alla tutela del patrimonio informatico giustificano la conservazione dei metadati per un arco temporale congruo rispetto all’obiettivo di rilevare e mitigare eventuali incidenti di sicurezza, adottando tempestivamente le opportune contromisure. Ove i tempi di conservazione non siano definiti in maniera proporzionata alle finalità del trattamento, il titolare del trattamento può incorrere nella violazione del principio di “limitazione della conservazione” (art. 5, par. 1, lett. e), del Regolamento).
I controlli sul rispetto della privacy by design e default
Inoltre, il titolare del trattamento, anche quando utilizza prodotti o servizi realizzati da terzi, deve verificare, anche avvalendosi del supporto del Responsabile della protezione dei dati, ove designato, la conformità ai principi applicabili al trattamento dei dati (art. 5 del Regolamento) adottando, nel rispetto del principio di responsabilizzazione, le opportune misure tecniche e organizzative e impartendo le necessarie istruzioni al fornitore del servizio.
Il titolare del trattamento deve quindi accertare che siano disattivate le funzioni che non sono compatibili con le proprie finalità del trattamento o che si pongono in contrasto con specifiche norme di settore previste dall’ordinamento ad esempio commisurando adeguatamente anche i tempi di conservazione dei dati ovvero chiedendo al fornitore del servizio di anonimizzare i metadati raccolti nei casi in cui non si intenda effettuare una conservazione più prolungata degli stessi.
Cosa devono fare i fornitori dei servizi di posta elettronica
Il Garante richiama l’attenzione anche dei produttori dei servizi e delle applicazioni, i quali sono tenuti, nella fase di sviluppo dei software di posta elettronica a tenere conto del diritto alla protezione dei dati conformemente allo stato dell’arte, aiutando, in tal modo, i titolari del trattamento ad adempiere correttamente ai loro obblighi di protezione dei dati.
Conclusioni
I datori di lavoro pubblici e privati, qualora non siano ancora intervenuti, devono, pertanto, adottare ogni misura necessaria a rendere i trattamenti di dati personali effettuati tramite l’impiego di sistemi e strumenti informatici di gestione della posta elettronica in azienda, conformi alla disciplina di protezione dati e a quella di settore.