Le mail dei lavoratori, i metadati, lo Statuto dei lavoratori e un recente atto di indirizzo del GPDP – aspetti delicati, soluzioni pratiche e primi rilievi critici
La delicata tematica della posta elettronica (in sostanza delle mail) data in uso ai lavoratori da parte dei datori di lavoro pubblici e privati, è tornata alla ribalta in ragione del Provvedimento del 21-12-2023 n. 642 assunto dal GPDP e denominato “Documento di indirizzo – Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”.
Per dare atto delle criticità che la tematica pone a far data dal 1970, ossia in ragione della prima versione dell’art. 4 della L. n. 300/1970 (legge nota quale “Statuto dei Lavoratori”), si deve muovere dall’attuale versione di tale norma che, infatti, unitamente alla prima vera legge sulla protezione dei dati personali a matrice tedesca, rappresenta una sorta di antesignano di ciò che oggi viene (piuttosto impropriamente) definita la “privacy dei lavoratori“.
Il testo della norma vigente è il seguente:
Art. Art. 4. (Impianti audiovisivi e altri strumenti di controllo)
- Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. (In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell’Ispettorato nazionale del lavoro. I provvedimenti di cui al terzo periodo sono definitivi).
- La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.
- Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196.
Pare piuttosto evidente che l’applicazione della suddetta norma, per come modificata dal c.d. “Jobs act” del 2015 [link], fa perno sulla distinzione che, invero, sussiste tra
(1) strumento a) organizzativo e produttivo, o di b) sicurezza del lavoro o di c) tutela del patrimonio aziendale e
(2) strumento utilizzato dal lavoratore per rendere la prestazione lavorativa ovvero strumento di registrazione dell’accesso in azienda o presso i luoghi di lavoro o di registrazione della presenza.
Nel primo caso lo strumento non è vietato, ove sia preceduto da un accordo sindacale. Nel secondo caso lo strumento non necessiterebbe (neppure) di accordo sindacale.
E tuttavia, in entrambi i suddetti casi (1 e 2), gli strumenti da cui può derivare un controllo debbono rispettare le norme del GDPR e del Codice della protezione dei dati personali. Codice nazionale che, in buona sostanza, con riferimento al proprio Capo I del Titolo VIII (cfr. gli artt. da 111 a 116 del Dlgs n. 196/2003) si rimette allo Statuto dei Lavoratori.
Il problema, pertanto, si “ridurrebbe” di fatto nel comprendere – caso per caso – quando lo strumento di potenziale controllo (ad esempio la funzionalità del sistema aziendale delle mail in uso al lavoratore) sia finalizzato ad attuare le finalità di cui al punto n. 1) e quando, invece, costituisca un vero e proprio strumento usato dal lavoratore per rendere la prestazione lavorativa di cui al punto n. 2) (e ciò al netto della registrazione della presenza o dell’accesso che, di norma, si verifica al momento dell’ingresso in certi luoghi di lavoro).
Orbene, sebbene chi scrive ritenga che l’accordo sindacale preventivo sarebbe in ogni caso consigliabile al fine di dipanare eventuali casi dubbi o incerti, vi sono della prestazioni lavorative che per essere eseguite non possono, ad esempio, prescindere da una connessione telematica con i sistemi informatici presenti in azienda (si può pensare alla sincronizzazione a distanza di sistemi di allarme che richiedono manutenzione tecnica in loco e) che, di conseguenza, si qualificano tecnicamente quali strumenti operativi di necessaria effettuazione della prestazione e, dunque, ancorché consentano il controllo del lavoratore (luogo di esecuzione dell’intervento, orario, tempo di presenza, operazioni effettuate), sarebbero ammessi senza accordi sindacali.
Ma, per contro, ci sono molte altre funzionalità (solo in senso lato definibili “strumenti di lavoro”) che tale connessione immediata con l’esecuzione della prestazione lavorativa non hanno e che, dunque, ove l’accordo sindacale non vi fosse, potrebbero essere assoggettate a rivendicazioni personali o collettive sindacali persino sfocianti in delicate vertenze. Le mail potrebbero fare parte di questa seconda categoria di funzionalità tecnica.
Del resto, nell’era della digitalizzazione e delle comunicazioni telematiche la funzionalità delle mail ha acquisito una importanza notevole in ogni azienda. Mail che, nella maggior parte dei casi, potrebbero essere considerate o percepite dai datori di lavoro (a ragione o a torto) uno strumento di lavoro necessario all’esecuzione della prestazione lavorativa dei propri lavoratori.
A tale ultimo proposito, prima di trarre delle conclusioni, pare però opportuno riportare alcune considerazioni effettuate dal GPDP (cfr. il sopra cit. provvedimento del GPDP del dicembre 2023 sulla gestione delle mail dei lavoratori, oltre a due atti correlati e già richiamati del 2007 e del 2022):
– estratto dal Provv. allegato del GPDP n. 127/2022: “conformemente al costante orientamento della Corte europea dei diritti dell’uomo, la protezione della vita privata si estende anche all’ambito lavorativo, considerato che proprio in occasione dello svolgimento di attività lavorative e/o professionali si sviluppano relazioni dove si esplica la personalità del lavoratore (v. artt. 2 e 41, comma 2, Cost.). Tenuto anche conto che la linea di confine tra ambito lavorativo/professionale e ambito strettamente privato non sempre può essere tracciata con chiarezza, la Corte ritiene applicabile l’art. 8 della Convenzione europea dei diritti dell’uomo posto a tutela della vita privata senza distinguere tra sfera privata e sfera professionale (v. Niemietz c. Allemagne, 16.12.1992 (ric. n. 13710/88), spec. par. 29; Copland v. UK, 03.04.2007 (ric. n. 62617/00), spec. par. 41; Brbulescu v. Romania [GC], 5.9.2017 (ric. n. 61496/08), spec. par. 70- 73; Antovi and Mirkovi v. Montenegro, 28.11. 2017 (ric. n. 70838/13), spec. par. 41-42).
– Pertanto – // sulla richiamabilità delle disposizioni dello Statuto dei lavoratori (e quindi anche degli art. 113 e 114 del Codice), nonché del carattere decisivo del piano fattuale, a dispetto del mero nomen iuris, ai fini della corretta qualificazione del rapporto in essere (v. Cass, sent. n. 4884 del 1.03.2018) – il trattamento dei dati effettuato mediante tecnologie informatiche nell’ambito di un qualsivoglia rapporto di lavoro deve conformarsi al rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato, a tutela di lavoratori e di terzi (v. Raccomandazione CM/Rec (2015)5 del Comitato dei Ministri agli Stati Membri sul trattamento di dati personali nel contesto occupazionale, spec. punto 3”.
“nell’ambito del rapporto di lavoro, informare compiutamente il lavoratore sul trattamento dei suoi dati è espressione dei principi generali di liceità e correttezza dei trattamenti (v. art. 5, par. 1, lett. a) del Regolamento; in questi termini, v. provv. 29 settembre 2021 n.353, doc. web n. 9719914).”.
“Il Garante pertanto, con orientamento costante, ha ritenuto necessario, ai fini della conformità ai principi in materia di protezione dei dati personali (v. provv.ti 29 settembre 2021, cit.; 4 dicembre 2019, n. 216, doc. web 9215890; 1° febbraio 2018, n. 53, doc. web n. 8159221, punto 3.4.), che, dopo la cessazione del rapporto di lavoro, il titolare del trattamento provveda alla rimozione dell’account, previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti ad informarne i terzi e a fornire a questi ultimi indirizzi e-mail alternativi riferiti alla sua attività professionale. Ciò in applicazione del principio di ‘limitazione della conservazione’ dell’art. 5, par. 1, lett. e) del Regolamento -anche alla luce del connesso principio di ‘minimizzazione’ di cui al medesimo art. 5, par. 1, lett. c)”.
“al riguardo è opportuno evidenziare che la Corte di Cassazione (ordinanza n. 26778/2019) ha riconosciuto la natura composita ed imperativa del diritto alla protezione dei dati personali, “contenendo tale normativa precetti che non possono essere derogati dall’autonomia privata in quanto posti a tutela di interessi generali, di valori morali e sociali pregnanti nel nostro ordinamento, finalizzati al rispetto dei diritti e delle libertà fondamentali, quali la dignità, la riservatezza, l’identità personale, la protezione dei dati personali”, compresa dunque la reputazione professionale del lavoratore che si estrinseca anche tramite la corretta gestione del servizio di posta elettronica aziendale (in particolare, riscontrando tempestivamente le comunicazioni pervenute e organizzando le proprie attività con colleghi e clienti)”.
Di conseguenza, anche alla luce dei suindicati passaggi motivazionali, sembrerebbe consigliabile valutare bene le singole posizioni aziendali rispetto all’uso delle mail e differenziare le stesse in base alla reale strumentalità di questa funzionalità che non è detto sia sempre la stessa per ogni lavoratore.
Ci potrebbero essere lavoratori a cui è stata assegnata una casella mail per, ad esempio, agevolare l’inoltro della busta paga o di altre comunicazioni a favore del datore di lavoro ma non per svolgere la prestazione lavorativa. In questi casi, di conseguenza, parrebbe difficile poter sostenere fondatamente che una simile funzionalità rientri a pieno titolo nel più “agevole” comma 2 dell’art. 4 della L. 300/1070 e, perciò, di conseguenza, sarebbe necessario il preventivo accordo sindacale.
Ma esposto ciò, rispetto all’ultimo provvedimento del garante nazionale in commento (doc. Web del 21-12-2023 n. 9978728), una serie di avvertenze e considerazioni vanno in primo luogo fatte rispetto ai c.d. “metadati“, poiché sono questi ad essere stati resi oggetto principale dell’atto di indirizzo assunto dal GPDP.
In semplificata sintesi i metadati, in generale, forniscono una serie di informazioni ulteriori e correlate rispetto ai dati principali. Essi possono riassumere i dati contenuti nei file principale o in documenti digitali o in altri ambienti web.
L’esempio classico di metadati è dato dalla fotografia effettuata con il telefonino. In questo caso i metadati sono quelli che si leggono “cliccando con il pulsante destro del mouse” e che forniscono la data, l’ora, la longitudine e latitudine del luogo in cui la fotografie è stata scattata.
Sicché, i metadati sono ritenuti una efficiente funzionalità per, in primo luogo, categorizzare e disporre in modo organizzato i database ad esempio aziendali. Non solo. Essi servono pure a mantenere un buon livello di precisione e efficientismo rispetto a molti processi informatici. Ad esempio per le attività e servizi di commercio elettronico, di streaming, di social media e, almeno stando ad alcuni esperti informatici, molto utili per la funzionalità dei siti internet tanto che, da parte di alcuni, sono considerati persino essenziali.
In base a quanto riportato da Wikipedia esisterebbero tre tre tipologie principali di metadati, ovvero: a) descrittive: poiché utili a identificare più facilmente e cercare file o dati particolari come titolo, autore, parole chiave e tematiche; b) strutturali: perché descrivono come sono stati organizzati o aggregati oggetti diversi. Il numero di ciascuna pagina in un libro, i capitoli etc.; c) amministrative: in quanto rilasciano informazioni tecniche relative alla gestione di un font. Il tipo di file, la data di creazione e da parte di chi è stato creato etc.
Rispetto ai metadati correlati ai sistemi e-mail il GPD ha, in sintesi, affermato che lo Statuto dei Lavoratori (L. n. 300/1970), al sopra riportato art. 4, prevede delle sostanziali limitazioni alla possibilità del datore di lavoro di esercitare dei controlli a distanza dell’attività dei lavoratori e che, oltretutto, non possono essere confinate alle mere e-mail in quanto tali.
Infatti, tale limitazione, prosegue il Garante, riguarderebbe tutti i sistemi che potrebbero consentire il controllo e, quindi, anche i sistemi di comunicazione elettronica mediante e-mail che, invero, generano dei “metadati” (ad es., come già accennato, l’indicazione del giorno di inoltro, l’ora, il destinatario, l’estensione della mail etc.).
Sicché, il GPDP italiano ha adottato il detto nuovo atto di indirizzo (“nuovo” rispetto a quello già adottato ad esempio nel corso del 2007) con cui richiede a tutti i datori di lavoro di aggiornare e adattare i sistemi di posta elettronica aziendali ai principi in materia di corretto trattamento dei dati personali dei lavoratori, ivi avvertendo che, ove ciò non venisse fatto ci si esporrebbe a sanzioni pecuniarie e pure a carattere penale.
L’atto di indirizzo nasce a seguito di accertamenti effettuati dal Garante dai quali è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail). In alcuni casi è emerso anche che i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione.
Pertanto, il Garante (al netto delle regole “data protection” più generali di gestione della posta elettronica) ha chiesto ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione delle mail in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a service) consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione ad un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore. Periodo considerato congruo dal GPDP, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore.
I datori di lavoro che, per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare del trattamento (in particolare, ad esempio, per specifiche esigenze di sicurezza dei sistemi), avessero necessità di trattare i metadati per un periodo di tempo più esteso, dovranno espletare le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro).
L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può infatti comportare – sempre stando alla stessa autorità – un indiretto controllo a distanza dell’attività del lavoratore e, pertanto, potrebbe rilevare anche sotto il profilo penalistico.
Sicché, in sintesi ed in pratica, si tratterebbe da parte di ogni Titolare e/o responsabile del trattamento di:
- verificare con il proprio I.T. e i propri fornitori se i sistemi di posta elettronica aziendale sono correttamente impostati o consentono di essere modificati;
- impostare i sistemi di posta elettronica in modo da impedire la raccolta di metadati;
- ove la suddetta conservazione si rendesse necessaria, verificare che i sistemi di posta elettronica conservino i metadati non più di sette giorni, prolungabili per altri due;
- in presenza di comprovabili e documentate esigenze che non consentono la tempestiva cancellazione dei detti metadati procedere con l’accordo sindacale o le autorizzazioni dell’Ispettorato del lavoro di competenza;
- verificare e, quindi, integrare, le informative fornite ai Lavoratori circa il funzionamento dei detti sistemi di posta elettronica e la conservazione di dati personali e metadati.
Tuttavia, il nuovo atto di indirizzo del Garante non va esente da possibili critiche sia sotto il profilo della (stretta) competenza e sia sotto il profilo sostanziale.
POSSIBILI CRITICHE COSTRUTTIVE
Ancorché ci si riservi di meglio analizzare la tematica, le possibili critiche da porre in rilievo, esposte in via di sintesi preliminare, sono le seguenti:
- in primo luogo, non è chiara la reale portata applicativa dell’art. 154bis del Dlgs n. 196/2003 che, infatti, appare ambigua circa l’estensione dei poteri del GPDP il cui perimetro è rimesso alle decisioni del legislatore nazionale dall’art. 58.6 del GDPR.
- La detta norma italiana, infatti, parla di “Linee Guida” nazionali assumibili dal Garante ma, di contro, non si capisce se la stessa le “confini” ai soli atti di indirizzo di cui all’art. 25 del GDPR (misure tecniche c.d. by design e by default), ovvero le permetta per ogni principio e previsione del Regolamento;
- la norma nazionale di cui sopra potrebbe, quindi, “scontrarsi” con il Capo VII del GDPR e, in particolare, con il principio di coerenza europea che dovrebbe essere presidiato e regolato dall’EDPB. A tale riguardo va, infatti, detto che, se ogni Garante dei vari paesi membri assumesse atti di indirizzo di simile fatta il ruolo del Board euro unitario verrebbe compromesso al pari dell’applicazione armonizzata del GDPR stesso che, giusto il disposto dell’art. 60 del GDPR prevede l’attuazione del principio di coerenza in tutto lo spazio euro-unitario;
- in disparte i sistemi di messaggistica mail conservati in cloud o attivati su richiesta, non si capisce bene il perché giuridico i metadati delle mail, soprattutto ove qualificabili “strumento di lavoro” per rendere la prestazione lavorativa, dovrebbero essere cancellati tutti e tutti al massimo entro sette o nove giorni. Tale limitazione, ad esempio, parrebbe porsi in possibile contrasto con quanto indicato dallo EDPB nelle Linee Guida n. 3/2019 in tema di sistemi di video audio ripresa e ivi indicata relativa conservazione delle registrazioni in base alle necessità di caso in caso valutate da parte del titolare del trattamento anche sotto il profilo temporale della comprovabile proporzionale necessità;
- e nemmeno è dato comprendere bene la motivazione giuridica per cui i metadati generati dalle mail (definiti pervasivi) si potrebbero conservare sette o nove giorni senza che ciò dia luogo all’applicazione dell’obbligo dell’accordo sindacale. Infatti, ove la possibilità di controllo vi fosse (e normalmente in tali casi vi è) l’applicazione dell’art. 4 comma 1 dello Statuto dei Lavoratori non lo permetterebbe in ogni caso, salvo il preventivo accordo sindacale. Invero, la ridetta norma non fa cenno alcuno al tempo di conservazione e nemmeno alla ridotta o breve facoltà di controllo da differenziare rispetto all’elemento temprale. Sicché, ove il sistema generi tale possibilità di controllo – possibilità di controllo brevissima, o breve che fosse – la stessa non sarebbe mai esonerata dal contenuto precettivo della norma e, dunque, dall’obbligo di procedere con l’accordo sindacale;
- peraltro, non è chiara l’interpretazione che il Garante propone rispetto ai metadati generati dalle mail relativamente al comma 2 dell’art. 4 dello Statuto dei lavoratori che, come riportato sopra, esonera dall’accordo sindacale ove lo strumento di controllo sia dato in uso al lavoratore per effettuare la prestazione lavorativa.
- Fermi i principi di limitazione e di coerente conservazione dei dati personali e, quindi, pure dei metadati (ove gli stessi consentano la identificazione univoca degli interessati), il detto atto di indirizzo pare, infatti, opacizzare la ragione per cui i metadati dovrebbero essere cancellati al più presto o, al massimo, entro sette o nove giorni. Del resto, ove la funzionalità mail fosse uno strumento di lavoro per rendere la prestazione anche i metadati generati dalla stessa nella maggior parte dei casi lo sarebbero (al riguardo si potrebbe richiamare l’esempio del tecnico con il compito di sincronizzare dei sistemi di allarme dei clienti da remoto, ovverosia collegandosi a distanza con i sistemi aziendali e, quindi, rendendosi gioco forza controllabile a distanza).
- Infine, ci sarebbe pure da valutare attentamente la portata sostanzialmente “legislativa” dell’atto di indirizzo in parola che, infatti, almeno sotto il profilo sostanziale e applicativo, si porrebbe in opinabili termini modificativi del contenuto e portata dell’art. 4 del ridetto Statuto dei Lavoratori.
o0o
Ogni riproduzione è riservata.