Il Garante per la protezione dei dati personali ha reso un nuovo provvedimento (del 6 giugno 2024) con il quale ha fornito il proprio indirizzo in materia di programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento di metadati (qui il testo integrale)
Come viene precisato dalla stessa Autorità, il Provvedimento non reca prescrizioni né introduce nuovi adempimenti a carico dei titolari del trattamento. Piuttosto, intende offrire una ricostruzione sistematica delle disposizioni applicabili in tale specifico ambito, al solo fine di richiamare l’attenzione su alcuni punti di intersezione tra la disciplina di protezione dei dati e le norme che stabiliscono le condizioni per l’impiego degli strumenti tecnologici nei luoghi di lavoro.
Il provvedimento contiene una sintesi della normativa in materia di protezione di dati personali.
Viene rammentato, in primo luogo, che il contenuto dei messaggi di posta elettronica – come pure i dati esteriori delle comunicazioni e i file allegati - riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente (artt. 2 e 15 Cost.), che proteggono il nucleo essenziale della dignità della persona e il pieno sviluppo della sua personalità nelle formazioni sociali. Questo comporta che, anche nel contesto lavorativo pubblico e privato, sussista una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza.
Considerato che l’impiego dei programmi di posta elettronica e servizi informatici dà luogo a “trattamenti” di dati personali, riferiti a “interessati”, identificati o identificabili (art. 4, par. 1, nn. 1) e 2), del Regolamento) nel contesto lavorativo, il datore di lavoro, in quanto titolare del trattamento, deve dunque verificare la sussistenza di un idoneo presupposto di liceità (cfr. artt. 5, par. 1, lett. a), e 6 del Regolamento).
In particolare, il datore dovrà sempre verificare la sussistenza dei presupposti di liceità stabiliti dall’art. 4 della l. 20 maggio 1970, n. 300, cui fa rinvio l’art. 114 del Codice, nonché il rispetto delle diposizioni che vietano al datore di acquisire, e comunque trattare, informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata.
Per quanto riguarda, invece, la disciplina di settore in materia di controlli a distanza, il Garante ha richiamato, ovviamente, l’art. 4 dello Statuto dei Lavoratori.
Dopo aver ricordato il contenuto dei principi di liceità del trattamento, di correttezza e trasparenza, di limitazione della conservazione, di protezione dei dati fin dalla progettazione, il Garante ha sintetizzato le iniziative che il datore deve porre in essere per assicurare il rispetto della normativa in materia di protezione dei dati e della disciplina di settore in tema di controlli a distanza.
In particolare, spetta al titolare del trattamento verificare che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti - specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service - consentano al cliente (datore di lavoro) di rispettare la disciplina di protezione dei dati nei termini ricordati nel medesimo documento di indirizzo, anche con riguardo al periodo di conservazione dei metadati.