Email nel contesto lavorativo: limiti e tempi di conservazione

GPN_Privacy e dati

Le moderne imprese devono, sempre più spesso, adeguare la propria organizzazione del lavoro alle stringenti indicazioni del Garante per la Protezione dei Dati Personali in materia di tutela della privacy e dei dati personali. Da ultimo, con specifico riferimento alla casella di posta elettronica aziendale, il Garante della Protezione dei Dati Personali, con il provvedimento del 21 dicembre 2023 n.642, ha fornito ulteriori indicazioni in merito “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”.

Il rispetto della normativa europea in materia di privacy è una strada obbligata: la conservazione dei dati non può avvenire in modo indiscriminato e per un tempo indefinitivo e disancorato a specifiche finalità. Il trattamento dei dati deve sempre essere virtuoso e rispettoso dei principi di proporzionalità e minimizzazione.

Al fine di verificare il rispetto della normativa in materia di protezione dei dati, ogni realtà aziendale che utilizzi, nella propria organizzazione del lavoro, strumenti tecnologici in grado di acquisire “dati” deve porsi alcuni fondamentali quesiti:

  • La strumentazione aziendale affidata ai collaboratori acquisisce dati in grado, seppur in via mediata, di effettuare un controllo sulla prestazione di lavoro?
  • Quale tipologia di dati risulta acquisita e conservata?
  • Per quanto tempo vengono conservati quei dati?
  • Il “tempo” della conservazione è lecito o, invece, risulta sproporzionato rispetto alla finalità per la quale quel dato è acquisito?

Deve infatti tenersi a mente come la conservazione dei dati acquisiti mediante l’utilizzo di strumentazione tecnologica possa dirsi lecita solo laddove il “tempo” di conservazione risulti strettamente funzionalizzato al perseguimento di determinate finalità. Da quando il diritto alla protezione dei dati personali è stato sancito a livello europeo, l’Autorità Garante ha fornito indicazioni volte ad orientare gli interlocutori verso una gestione del trattamento dei dati che sia consapevole, minimizzata, proporzionale e, quindi, lecita.

Generalmente, la posta elettronica aziendale individualizzata (ossia, quella riportante il nome e il cognome del dipendente e di dominio aziendale) viene ricondotta alla nozione di strumento di lavoro” di cui all’art. 4, comma 2, Statuto dei Lavoratori, ciò in ragione del fatto che l’utilizzo della e-mail risulta essere strettamente funzionale all’esecuzione delle mansioni di lavoro.  In questo senso, il datore di lavoro che affidi ad un proprio dipendente una casella di posta aziendale non è tendenzialmente tenuto a rispettare la procedura sindacale di autorizzazione prevista dal comma 1 dell’art. 4, legge n. 300/1970.

Tuttavia, deve tenersi in considerazione come l’esonero dalla procedura di autorizzazione sindacale di cui al comma 1 non sia assoluto, ma subisca delle eccezioni in ragione dei tempi di conservazione dei dati acquisiti mediante la strumentazione tecnologica utilizzata.

Il Garante ha infatti precisato che affinché la conservazione dei metadati delle e-mail sia riconducibile all’art. 4, comma 2, dello Statuto dei Lavoratori e, quindi, sia esonerata dalla preventiva autorizzazione sindacale, “non può essere superiore di norma a poche ore o ad alcuni giorni, in ogni caso non oltre sette giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore.”.

Sotto questo profilo, l’Autorità Garante ha ritenuto che la generalizzata raccolta e la conservazione dei metadati dell’email aziendali (giorno, ora, mittente, destinatario, oggetto e dimensione dell’email) da parte del datore di lavoro, per un lasso di tempo più esteso rispetto a quello poc’anzi detto – ancorché ancorata al presupposto della sua necessità per finalità di sicurezza informatica o tutela dell’integrità del patrimonio, anche informatico, del datore di lavoro – può comportare un indiretto controllo a distanza dell’attività dei lavoratori.

Per questo motivo, ad avviso del Garante, una conservazione dei metadati dell’email per un tempo superiore a quello indicato richiederebbe l’esperimento delle garanzie di cui all’art. 4, comma 1, Statuto dei lavoratori e, quindi, la preventiva autorizzazione sindacale e l’informativa ai dipendenti in ordine alle modalità di conservazione e di utilizzo dei dati raccolti.

In questo senso, quindi, il “tempo” di conservazione delle email integra il discrimen tra l’applicabilità della procedura prevista dal comma 1 dell’art. 4 Statuto dei Lavoratori ovvero del comma 2 del medesimo articolo.

Alla luce di quanto esposto, è pertanto opportuno che le imprese effettuino un’attività di due diligence finalizzata ad individuare, per categoria di e-mail, i relativi “tempi di conservazione” così che questi possano risultare leciti e proporzionati rispetto alle finalità per le quali i dati risultano esser conservati.

Infatti, ove i tempi di conservazione non siano definiti in maniera proporzionata e coerente rispetto alle finalità del trattamento, il titolare del trattamento (il datore di lavoro) può incorrere nella violazione del principio di “limitazione di conservazione” con conseguente applicazione di una sanzione amministrativa.

 

A cura di: Prof. avv. Adalberto Perulli, socio GPN Labour. Legal. Solutions.

 

GPN Labour

Siamo specializzati nel diritto del lavoro e nella previdenza. La nostra missione è affiancare e portare valore alle imprese attraverso una conoscenza approfondita e un’interpretazione delle norme nazionali ed europee.

Grazie alla sinergia e alle competenze multidisciplinari dei nostri professionisti, copriamo ogni ambito della giurisdizione del lavoro per affiancare e dare valore alle imprese, offrendo soluzioni innovative e un supporto completo.

Scopri come possiamo supportare la tua azienda: CLICCA QUI