Le mail dei lavoratori, i metadati, lo Statuto dei lavoratori e un recente atto di indirizzo del GPDP – aspetti delicati, soluzioni  pratiche e primi rilievi critici 

La delicata tematica della posta elettronica (in sostanza delle mail), data in uso ai lavoratori da parte dei datori di lavoro pubblici e privati, è tornata alla ribalta in ragione del Provvedimento del 21-12-2023 n. 642 assunto dal GPDP e denominato  “Documento di indirizzo – Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”. 

Per dare atto delle criticità che la tematica pone a far data dal 1970, ossia in ragione della prima versione dell’art. 4 della L. n. 300/1970 (legge nota quale “Statuto dei Lavoratori”), si deve muovere dall’attuale versione di tale norma che, infatti, unitamente alla prima vera legge sulla protezione dei dati personali a matrice tedesca, rappresenta una sorta di antesignano di ciò che oggi viene (piuttosto impropriamente) definita la “privacy dei lavoratori“. 

Il testo della norma vigente è il seguente: 

Art. Art. 4.  (Impianti audiovisivi e altri strumenti di controllo)

1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali.  In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. (In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell’Ispettorato nazionale del lavoro. I provvedimenti di cui al terzo periodo sono definitivi).
2. La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze. 
3. Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196.

Pare piuttosto evidente che l’applicazione della suddetta norma, per come modificata dal c.d. “Jobs act” del 2015, fa perno sulla distinzione che, invero, sussiste tra 

• (1) strumento a) organizzativo e produttivo, o di b) sicurezza del lavoro o di c) tutela del patrimonio aziendale e 
• (2) strumento utilizzato dal lavoratore per rendere la prestazione lavorativa ovvero strumento di registrazione dell’accesso in azienda o presso i luoghi di lavoro o di registrazione della presenza.  

Nel primo caso lo strumento non è vietato ove sia preceduto da un accordo sindacale. Nel secondo caso lo strumento non necessiterebbe (neppure) di accordo sindacale. 

E tuttavia, in entrambi i suddetti casi (1 e 2), i detti strumenti da cui può derivare un controllo debbono rispettare le norme del GDPR e del Codice della protezione dei dati personali. Codice nazionale che, in buona sostanza, con riferimento al proprio Capo I del Titolo VIII (cfr. gli artt. da 111 a 116 del DLgs n. 196/2003) si rimette allo Statuto dei Lavoratori. 

Il problema, pertanto, si “riduce” di fatto nel comprendere – caso per caso – quando lo strumento di potenziale controllo  (ad esempio la funzionalità del sistema aziendale delle mail in uso al lavoratore) sia finalizzato ad attuare le finalità di cui al punto n. 1) e quando, invece, costituisca un vero e proprio strumento usato dal lavoratore per rendere la prestazione lavorativa (e ciò al netto della registrazione della presenza o dell’accesso che, di norma, si verifica al momento dell’ingresso in certi luoghi di lavoro). 

Orbene, sebbene chi scrive ritenga che l’accordo sindacale preventivo sarebbe in ogni caso consigliabile al fine di dipanare eventuali casi dubbi o incerti, vi sono della prestazioni lavorative che per essere eseguite non possono prescindere da una connessione telematica con gli strumenti presenti in azienda (si può pensare alla sincronizzazione a distanza di sistemi di allarme che richiedono manutenzione tecnica in loco e) che, di conseguenza, si qualificano tecnicamente quali strumenti operativi di necessaria effettuazione della prestazione e, dunque, ancorché consentano il controllo del lavoratore (es. luogo di esecuzione dell’intervento, orario, tempo di presenza, operazioni effettuate, etc.), sarebbero ammessi senza accordi sindacali. 

Ma ci sono molte altre funzionalità (in senso lato definibili “strumenti di lavoro”) che tale connessione immediata con l’esecuzione della prestazione lavorativa non hanno e che, dunque, ove l’accordo sindacale non vi fosse, potrebbero generare rivendicazioni personali o sindacali persino sfocianti in delicate vertenze. E le mail potrebbero fare parte di questa seconda categoria di funzionalità tecnica.

Nell’era della digitalizzazione e delle comunicazioni telematiche la funzionalità delle mail ha acquisito una importanza notevole in ogni azienda e, almeno nella maggior parte dei casi, potrebbero essere considerate (a ragione o a torto) uno strumento di lavoro necessario all’esecuzione della prestazione lavorativa. 

A tale ultimo proposito, prima di trarre delle conclusioni, pare opportuno riportare alcune considerazioni effettuate dal GPDP, dalla CEDU e dalla Corte di Cassazione (cfr. il sopra cit. provvedimento del GPDP del dicembre 2023 sulla gestione delle mail dei lavoratori, oltre a due atti correlati del 2007 e del 2022): 

– estratto dal Provv. allegato del GPDP n. 127/2022: “conformemente al costante orientamento della Corte europea dei diritti dell’uomo, la protezione della vita privata si estende anche all’ambito lavorativo, considerato che proprio in occasione dello svolgimento di attività lavorative e/o professionali si sviluppano relazioni dove si esplica la personalità del lavoratore (v. artt. 2 e 41, comma 2, Cost.). Tenuto anche conto che la linea di confine tra ambito lavorativo/professionale e ambito strettamente privato non sempre può essere tracciata con chiarezza, la Corte ritiene applicabile l’art. 8 della Convenzione europea dei diritti dell’uomo posto a tutela della vita privata senza distinguere tra sfera privata e sfera professionale (v. Niemietz c. Allemagne, 16.12.1992 (ric. n. 13710/88), spec. par. 29; Copland v. UK, 03.04.2007 (ric. n. 62617/00), spec. par. 41; Brbulescu v. Romania [GC], 5.9.2017 (ric. n. 61496/08), spec. par. 70- 73; Antovi and Mirkovi v. Montenegro, 28.11. 2017 (ric. n. 70838/13), spec. par. 41-42). 

 – Pertanto – // sulla richiamabilità delle disposizioni dello Statuto dei lavoratori (e quindi anche degli art. 113 e 114 del Codice), nonché del carattere decisivo del piano fattuale, a dispetto del mero nomen iuris, ai fini della corretta qualificazione del rapporto in essere (v. Cass, sent. n. 4884 del 1.03.2018) – il trattamento dei dati effettuato mediante tecnologie informatiche nell’ambito di un qualsivoglia rapporto di lavoro deve conformarsi al rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato, a tutela di lavoratori e di terzi (v. Raccomandazione CM/Rec (2015)5 del Comitato dei Ministri agli Stati Membri sul trattamento di dati personali nel contesto occupazionale, spec. punto 3”.

“nell’ambito del rapporto di lavoro, informare compiutamente il lavoratore sul trattamento dei suoi dati è espressione dei principi generali di liceità e correttezza dei trattamenti (v. art. 5, par. 1, lett. a) del Regolamento; in questi termini, v. provv. 29 settembre 2021 n.353, doc. web n. 9719914).”.

“Il Garante pertanto, con orientamento costante, ha ritenuto necessario, ai fini della conformità ai principi in materia di protezione dei dati personali (v. provv.ti 29 settembre 2021, cit.; 4 dicembre 2019, n. 216, doc. web 9215890; 1° febbraio 2018, n. 53, doc. web n. 8159221, punto 3.4.), che, dopo la cessazione del rapporto di lavoro, il titolare del trattamento provveda alla rimozione dell’account, previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti ad informarne i terzi e a fornire a questi ultimi indirizzi e-mail alternativi riferiti alla sua attività professionale. Ciò in applicazione del principio di ‘limitazione della conservazione’ dell’art. 5, par. 1, lett. e) del Regolamento -anche alla luce del connesso principio di ‘minimizzazione’ di cui al medesimo art. 5, par. 1, lett. c)”.

“al riguardo è opportuno evidenziare che la Corte di Cassazione (ordinanza n. 26778/2019) ha riconosciuto la natura composita ed imperativa del diritto alla protezione dei dati personali, “contenendo tale normativa precetti che non possono essere derogati dall’autonomia privata in quanto posti a tutela di interessi generali, di valori morali e sociali pregnanti nel nostro ordinamento, finalizzati al rispetto dei diritti e delle libertà fondamentali, quali la dignità, la riservatezza, l’identità personale, la protezione dei dati personali”, compresa dunque la reputazione professionale del lavoratore che si estrinseca anche tramite la corretta gestione del servizio di posta elettronica aziendale (in particolare, riscontrando tempestivamente le comunicazioni pervenute e organizzando le proprie attività con colleghi e clienti)”. 

Di conseguenza, anche alla luce dei suindicati passaggi motivazionali, sembrerebbe consigliabile valutare bene le singole posizioni aziendali rispetto all’uso delle mail e differenziare le stesse in base alla reale strumentalità di questa funzionalità che non è detto sia sempre la stessa per ogni lavoratore. 

Ci potrebbero essere lavoratori a cui è stata assegnata una casella mail per, ad esempio, agevolare l’inoltro della busta paga o di altre comunicazioni a favore del datore di lavoro ma non per svolgere la prestazione lavorativa. In questi casi, di conseguenza, parrebbe difficile poter sostenere fondatamente che una simile funzionalità possa rientrare a pieno titolo nel più “agevole” comma 2 dell’art. 4 della L. 300/1070 e, perciò, di contro, sarebbe necessario il preventivo accordo sindacale. 

Ma detto ciò, rispetto all’ultimo provvedimento del garante nazionale in commento (doc. Web del 21-12-2023 n. 9978728), tutte queste avvertenze e considerazioni andrebbero in primo luogo fatte e dedicate rispetto ai metadati. 

I METADATI 

In semplificata sintesi i metadati, in generale, forniscono una serie di informazioni ulteriori e correlate rispetto ai dati principali. Essi possono riassumere le informazioni contenute nei file principali o in documenti digitali o in altri ambienti web. 

L’esempio classico di metadati potrebbe essere quello della fotografia scattata con il telefonino. In questo caso i metadati sono quelli che si leggono “cliccando con il pulsante destro del mouse” che forniscono la data, l’ora, la longitudine e latitudine del luogo in cui la fotografie è stata scattata. 

I metadati sono ritenuti una efficiente funzionalità per, in primo luogo, categorizzare e disporre in modo organizzato i database ad esempio aziendali. Non solo. Essi servono pure a mantenere un buon livello di precisione e efficientismo rispetto a molti processi informatici. Ad esempio per le attività e servizi di commercio elettronico, di streaming, di social media e per la funzionalità dei siti internet sono da molti considerati persino essenziali. 

In base a quanto riportato da Wikipedia esisterebbero tre tre tipologie principali di metadati, ovvero: a) descrittive: poiché utili a identificare più facilmente e cercare file o dati particolari come titolo, autore, parole chiave e tematiche; b) strutturali: perché descrivono come sono stati organizzati o aggregati oggetti diversi. Il numero di ciascuna pagina in un libro, i capitoli etc.; c) amministrative: in quanto rilasciano informazioni tecniche relative alla gestione di un font. Il tipo di file, la data di creazione e da parte di chi è stato creato etc.  

Rispetto ai metadati correlati ai sistemi di e-mail il GPD ha, in sintesi, affermato che Lo Statuto dei Lavoratori (L. n. 300/1970), al sopra riportato art. 4, prevede delle sostanziali limitazioni alla possibilità del datore di lavoro di esercitare dei controlli a distanza dell’attività dei lavoratori che non possono essere confinate alle mere e-mail in quanto tali.  

Infatti, tale limitazione, prosegue il Garante, riguarderebbe tutti i sistemi che potrebbero consentire il detto controllo e, quindi, anche i sistemi di comunicazione elettronica mediante e-mail che, invero, generano dei “metadati” (ad es., come detto, giorno, ora, destinatario, estensione della mail etc.). 

Sicché, il GPDP italiano ha adottato il detto nuovo atto di indirizzo (rispetto a quello già assunto, ad esempio, nel corso del 2007) con cui  richiede a tutti i datori di lavoro di aggiornare e adattare i sistemi di posta elettronica aziendali ai principi in materia di corretto trattamento dei dati personali dei lavoratori, ivi avvertendo che, ove ciò non venisse fatto ci si esporrebbe a sanzioni pecuniarie e pure a carattere penale.      

L’atto di indirizzo nasce a seguito di accertamenti effettuati dal Garante dai quali è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail). In alcuni casi è emerso anche che i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione.

Pertanto, il Garante (al netto delle regole data protection più generali di gestione della posta elettronica) ha chiesto ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a service) consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione ad un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore. Periodo considerato congruo dal GPDP, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore.

I datori di lavoro che per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare del trattamento (in particolare, ad esempio, per specifiche esigenze di sicurezza dei sistemi) avessero necessità di trattare i metadati per un periodo di tempo più esteso, dovranno espletare le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro). L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore e, pertanto, potrebbe rilevare anche sotto il profilo penalistico.

Sicché, in sintesi ed in pratica, si tratterebbe da parte di ogni Titolare e/o responsabile del trattamento di:

1. verificare con il proprio I.T. e i propri fornitori se i sistemi di posta elettronica aziendale sono correttamente impostati o consentono di essere modificati;
2. impostare i sistemi di posta elettronica in modo da impedire la raccolta di metadati;
3. ove la suddetta conservazione si rendesse necessaria, verificare che i sistemi di posta elettronica conservino i metadati non più di sette giorni, prolungabili per altri due; 
4. in presenza di comprovabili e documentate esigenze che non consentono la tempestiva cancellazione dei detti metadati procedere con l’accordo sindacale o le autorizzazioni dell’Ispettorato del lavoro di competenza; 
5. verificare e, quindi, integrare, le informative fornite ai Lavoratori circa il funzionamento dei detti sistemi di posta elettronica e circa la conservazione di dati personali e metadati. 

Tuttavia, come anticipato, il nuovo atto di indirizzo del Garante non va esente da possibili critiche sia sotto il profilo della (stretta) competenza e sia sotto il profilo sostanziale. 

POSSIBILI CRITICHE COSTRUTTIVE ALL’ATTO DI INDIRIZZO DEL GARANTE 

Ancorché ci si riservi di meglio analizzare la tematica (anche alla luce della consultazione pubblica lanciata dallo stesso GPDP il 22-02-24 e delle conseguenti decisioni che verranno adottate), le possibili critiche da porre in rilievo, esposte in via di sintesi preliminare, sono le seguenti: 

• in primo luogo, non è ben chiara la reale portata applicativa e interpretativa dell’art. 154bis del Dlgs n. 196/2003 che, infatti, è una disposizione ambigua rispetto all’estensione dei poteri del GPDP il cui perimetro è rimesso alle decisioni del legislatore nazionale dall’art. 58.6 del GDPR. 

La detta norma italiana, infatti, parla di Linee Guida nazionali assumibili dal Garante ma, di contro, non si capisce se la stessa le “confini” ai soli atti di indirizzo di cui all’art. 25 del GDPR, ovvero le permetta per ogni principio e previsione del Regolamento. Norma nazionale  che potrebbe, quindi, “scontrarsi” con il Capo VII del GDPR e, in particolare, con il principio di coerenza europea che dovrebbe essere presidiato e regolato dallo EDPB. A tale riguardo va, infatti, detto che, se ogni Garante dei vari paesi membri assumesse atti di indirizzo attinenti ai principi espressi dal Regolamento generale il ruolo del Board euro unitario verrebbe compromesso; e ciò al pari dell’applicazione armonizzata del GDPR stesso che, giusto il disposto del suo art. 60, prevede la tenuta del principio di coerenza in tutto lo spazio euro-unitario; 

• al netto dei sistemi di messaggistica conservati in cloud o attivati su richiesta, non si capisce bene il perché giuridico i metadati delle mail, soprattutto ove non correlabili allo strumento di lavoro per rendere la prestazione lavorativa, dovrebbero essere cancellati tutti e tutti dopo al massimo sette giorni. 

Tale limitazione, ad esempio, parrebbe porsi in possibile contrasto con quanto indicato dallo EDPB nelle Linee Guida n. 3/2019 in tema di sistemi di video audio ripresa e conservazione delle registrazioni in base alle necessità valutate da parte del titolare del trattamento, caso per caso, anche rispetto al profilo temporale, ossia avuto riguardo al tempo di conservazione delle immagini registrate; 

• ove si volessero tenere “per buone” le ultime indicazioni offerte dal Garante italico, nemmeno sarebbe dato comprendere bene la motivazione giuridica per cui i metadati generati dalle mail (definiti pervasivi) si potrebbero conservare sette o nove giorni senza che ciò dia luogo all’applicazione dell’obbligo dell’accordo sindacale. 

Infatti, se la possibilità di controllo vi fosse (e normalmente vi è) l’applicazione dell’art. 4 comma 1 dello Statuto dei Lavoratori non lo permetterebbe in ogni caso, salvo il preventivo accordo sindacale. Invero, la norma in commento non fa cenno alcuno al tempo di conservazione e nemmeno alla ridotta ovvero breve facoltà di controllo da differenziare rispetto ad un tipo di controllo più prolungato. Sicché, ove il sistema (ad esempio delle mail) generi tale possibilità di controllo – possibilità di controllo brevissima, o breve che fosse –  la stessa non sarebbe mai esonerata dal contenuto precettivo della norma e, dunque, dall’obbligo di procedere con l’accordo sindacale; 

• peraltro, non è nemmeno chiara l’interpretazione che il Garante sembra comunque propone anche rispetto ai metadati generati dalle mail relativamente al comma 2 dell’art. 4 dello Statuto dei lavoratori che, come riportato sopra, esonera dall’accordo sindacale ove lo strumento di controllo sia dato in uso al lavoratore per effettuare la prestazione lavorativa. 

Infatti, impregiudicati i principi di limitazione e di coerente conservazione dei dati personali e, quindi, pure dei metadati (ove gli stessi consentano la identificazione univoca degli interessati), il detto atto di indirizzo sembra opacizzare la ragione per cui i metadati dovrebbero essere cancellati al più presto o, al massimo, entro sette o nove giorni. Del resto, ove la funzionalità delle mail fosse uno strumento di lavoro per rendere la prestazione, anche i metadati della stessa – nella maggior parte dei casi – lo sarebbero (al riguardo si potrebbe richiamare l’esempio del tecnico col compito di sincronizzare dei sistemi di allarme dei clienti da remoto e, quindi, collegandosi a distanza con i sistemi aziendali che, indirettamente, ne permettono il controllo).   

infine, ci sarebbe pure da valutare attentamente la portata sostanzialmente “legislativa” dell’atto di indirizzo in parola che, infatti, almeno sotto il (dallo stesso Garante richiesto) profilo sostanziale, si porrebbe in termini quanto meno modificativi del contenuto letterale dell’art. 4 del ridetto Statuto dei Lavoratori.

o0o  

Ogni riproduzione è riservata