In tema di trattamento dati afferente la gestione della posta elettronica il Garante ha più volte precisato la necessità di adottare policy e informative volte ad informare i dipendenti ed i collaboratori sul trattamento dei dati degli stessi effettuato dal Titolare tramite gli strumenti aziendali, ove per trattamento si intende:
- la raccolta
- la conservazione,
- la procedura di cancellazione dell’account dopo l’interruzione del rapporto.
Il titolare del trattamento è tenuto, pertanto, a fornire una chiara informativa ai dipendenti/collaboratori circa la corretta gestione dell’account di posta elettronica nominativa, “dove di certo transitano dati personali e informazioni personali”.
La mancanza di una policy aggiornata, circa il corretto utilizzo della posta elettronica aziendale, costituisce, in prima battuta, una violazione del principio di accountability, di cui all’art. 24 del GDPR.
La mancata informativa prevista dall’art. 13 del regolamento europeo unitamente alla violazione dei principi di minimizzazione, necessità e limitazione della conservazione –qualora accertata dall’Autorità di Controllo - determina la adozione di sanzioni amministrative pecuniarie, ai sensi dell’art. 83, paragrafo 5, lettera b), per un ammontare che può arrivare fino a 20 milioni di euro.
Diventa dunque fondamentale adempiere, in prima battuta, ai seguenti obblighi:
- redigere una policy aziendale aggiornata circa il corretto utilizzo della posta elettronica aziendale;
- redigere un modello di informativa sul trattamento dei dati personali che avviene attraverso l’utilizzo della posta elettronica aziendale. Il modello in parola deve essere consegnato al dipendente sin dall’inizio del rapporto di lavoro e disciplinare tutte le fasi del rapporto contrattuale, dall’assunzione, alla gestione sino alla cessazione dello stesso.
Rimani aggiornato sul nostro dossier dedicato alla Privacy |
Gratis le Notizie di Fisco e Tasse. Vai al canale WhatsApp di FISCOeTASSE.com
Ti potrebbero interessare:
- Software DPIA Easy - Valutazione impatto sulla protezione dati
- La Privacy negli studi professionali (eBook)
- Formulario commentato della privacy - Libro di carta
- Manuale operativo del D.P.O.
Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy
1) Email dei dipendenti e privacy: il ruolo del titolare del trattamento
Per lo svolgimento della loro prestazione lavorativa i dipendenti del titolare del trattamento (di seguito, anche “titolare”), utilizzano strumenti informatici, tra i quali si annoverano anche i mezzi indispensabili per la comunicazione aziendale interna ed esterna.
La comunicazione, pertanto, costituisce parte integrante e sostanziale dello svolgimento delle mansioni lavorative e i dipendenti ricevono dal datore di lavoro applicativi con i quali poter comunicare e scambiare informazioni internamente all’azienda (colleghi o superiori) o esternamente ad essa (pazienti, fornitori, consulenti, altri soggetti pubblici, ecc.)
Da questo punto di vista la posta elettronica è lo strumento principe messo, dal titolare, a disposizione dei lavoratori per comunicare.
Con il termine di “posta elettronica” si definisce “uno spazio di memoria di un sistema informatico destinato alla memorizzazione di messaggi, o informazioni di altra natura (immagini, video, ecc.), di un soggetto identificato da un account registrato presso un provider del servizio”; (cfr. Cass. Pen., Sez. V, 31.032016, n. 13075).
Per quanto di stretto interesse in questa sede, si precisa quanto segue:
- L’indirizzo di posta elettronica è un dato personale se consente l’identificazione di un soggetto; si pensi al caso in cui l’indirizzo e-mail contiene il nome e cognome del dipendente, seguito dal dominio aziendale.
- Il messaggio di posta elettronica contiene dati personali.
Essendo, pertanto, l’indirizzo di posta elettronica un dato personale, si applicano i principi e le tutele disciplinate dalla vigente normativa di settore: Regolamento (UE) 2016/679 (di seguito, “GDPR”) e D.lgs. n. 196/2003 modificato con D.Lgs. n. 101/2018 (di seguito “Codice Privacy”).
A tale proposito il Garante ha affermato che “il contenuto dei messaggi di posta elettronica – come pure i dati esteriori delle comunicazioni e i file allegati – riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali”; (cfr. Linee guida del Garante per posta elettronica e Internet, 1.3.2007, punto 5.2, lett. b).
Il titolare del trattamento è tenuto a configurare il sistema di posta elettronica attraverso scelte precise, chiare e documentate per garantire che il trattamento dei dati personali sia lecito, trasparente, necessario, proporzionato e sicuro.
Considerato che:
- il trattamento dei dati personali attraverso l’utilizzo di un sistema di posta elettronica, durante lo svolgimento della prestazione lavorativa, ad opera dei dipendenti del titolare rileva anche sotto il profilo giuslavoristico, di cui alla Legge n. 300/1970 e s.m.i. (Statuto dei Lavoratori).
- nello specifico, l’art. 4 della legge n. 300 disciplina in modo differenziato gli strumenti audiovisivi impiegati dal datore di lavoro (i.e., titolare del trattamento), a seconda delle finalità per le quali vengono utilizzati.
- di seguito si riporta il testo dell’Art. 4 - (Impianti audiovisivi e altri strumenti di controllo), Legge n. 300/1970 e s.m.i.
1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. ((In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell'Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell'Ispettorato nazionale del lavoro. I provvedimenti di cui al terzo periodo sono definitivi.)) 2. La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze. 3. Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196. |
Dalla lettura dell’articolo in parola si evince che la posta elettronica, essendo il tipico mezzo con il quale il dipendente del titolare invia e riceve comunicazioni di natura aziendale, rientra nella fattispecie degli strumenti di lavoro disciplinati dal comma secondo dell’art. 4, dello Statuto dei Lavoratori. (di stesso avviso è l’INL, Circolare n. 2/2016)
Anche il Garante ha ricompreso tra gli strumenti di cui al comma 2 dell’art. 4 “il servizio di posta elettronica offerto ai dipendenti (mediante attribuzione di un account personale) e gli altri servizi della rete aziendale”, in aggiunta ai “sistemi e le misure che ne consentono il fisiologico e sicuro funzionamento al fine di garantire un elevato livello di sicurezza della rete aziendale messa a disposizione del lavoratore (ad esempio: sistemi di logging per il corretto esercizio del servizio di posta elettronica (omissis)”. (cfr. Provv. Garante 13.7.2016, n. 303)
Si applica, invece, il comma 1 dell’art. 4 per l’utilizzo degli strumenti che consentono al datore di lavoro di controllare l’attività del lavoratore (es. controllo svolto attraverso il monitoraggio della posta elettronica), che non sono indispensabili per rendere la prestazione lavorativa; in questo caso è obbligatorio l’accordo con le OO.SS. o l’autorizzazione amministrativa.
Ti potrebbero interessare: |
Ti potrebbero interessare:
- I ricorsi al Garante della privacy - libro di carta
- Responsabilità Civile Illecito Trattamento dati - libro di carta
- Tutela della Privacy - (Pacchetto 2 eBook)
- Il condominio e la privacy
Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy
2) Email dei dipendenti e privacy: i metadati
Per quanto attiene all’utilizzo dei metadati dell’e-mail (ci si riferisce a quei dati esteriori come giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail la cui conoscenza permette di conoscere in dettaglio il comportamento del lavoratore identificandolo e rivelando informazioni che lo riguardano), il Garante ha stabilito che
“sebbene la gestione dei dati esteriori relativi all’utilizzo dei sistemi di posta elettronica, contenuti nella cosiddetta ‘envelope’ del messaggio, e la conservazione degli stessi per un arco temporale limitato, di regola non superiore a sette giorni, si possano considerare necessarie ad assicurare il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica, comprese le essenziali garanzie di sicurezza informatica, la conservazione di tali metadati, per un lasso di tempo più esteso, non può, invece, ricondursi all’ambito di applicazione dell’art. 4, comma 2, della predetta Legge n. 300/1970 (omissis) rientrando, piuttosto, tra gli strumenti funzionali alla tutela dell’integrità del patrimonio informativo del Titolare nel suo complesso, di cui al comma 1 del medesimo art. 4”; (cfr. Provv. Garante 1.12.2022, n. 409).
In estrema sintesi il Garante ha stabilito che si applica il comma 2 dell’art. 4 solo se la conservazione dei metadati della posta elettronica è limitata ad un periodo di tempo non superiore a 7 giorni, mentre una conservazione dei metadati per un periodo superiore determina l’applicazione delle garanzie di cui al comma 1, dell’art. 4, legge 300/1970.
Il Provvedimento del 21 dicembre 2023 - Documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” [9978728], (link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9978728 ), fornisce una serie di prescrizioni a carico dei datori di lavoro, pubblici e privati, che per la gestione della posta elettronica utilizzano programmi forniti anche in modalità cloud, utili a prevenire trattamenti di dati in contrasto con la disciplina sulla protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori.
Attraverso questo documento il Garante chiede quindi ai datori di lavoro/titolari del trattamento di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base,
- impedendo la raccolta dei metadati o
- limitando il loro periodo di conservazione ad un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore.
Periodo considerato congruo, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore.
Qualora il titolare del trattamento per esigenze organizzative e produttive o di tutela del patrimonio anche informativo (in particolare, ad esempio, per specifiche esigenze di sicurezza dei sistemi) avesse necessità di trattare i metadati per un periodo di tempo più esteso, dovranno essere espletate le procedure di garanzia previste dall’art. 4, comma 1, dello Statuto dei Lavoratori che richiede:
- l’accordo sindacale o
- l’autorizzazione dell’ispettorato del lavoro.
L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore.
Tra le nostre novità in tema di lavoro e previdenza ti potrebbero interessare :
Su altri temi specifici visita la sezione in continuo aggiornamento dedicata al Lavoro |
Gratis le Notizie di Fisco e Tasse. Vai al canale WhatsApp di FISCOeTASSE.com
Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy
3) Email dei dipendenti e privacy: violazioni dei dati personali per mancato rispetto adempimento
Si rimarca come il mancato rispetto degli adempimenti può comportare, a seconda dei casi, a carico del titolare del trattamento, le seguenti violazioni dei dati personali:
- Illiceità del trattamento; (art 6 GDPR).
- Violazione del principio di conservazione; (art. 5.1, lett. e) GDPR).
- Violazione dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita (Privacy by Design e Privacy by Default); (art. 25 GDPR).
- Violazione del principio di responsabilizzazione; (art. 24 GDPR).
Vanno rilevate, qualora presenti, le seguenti non conformità:
- la mancanza di una preventiva e idonea informativa ai dipendenti/collaboratori che illustri, in prima battuta, i seguenti aspetti: a) la conservazione delle e-mail, b) la durata del periodo di conservazione, c) le finalità del trattamento, d) la base giuridica del trattamento, e) le modalità di accesso e di controllo delle stesse, f) il link alla policy aziendale disciplinante l’uso della posta elettronica e di Internet; g) l’esercizio dei diritti in capo ai lavoratori; h) le misure organizzative e tecniche adottate dal titolare per garantire la sicurezza del trattamento; ecc.
- la conservazione sistematica ed estesa di tutte le e-mail, senza predisporre uno strumento in grado di selezionare i documenti che avrebbero potuto essere man mano archiviati;
- la possibilità di accesso indistinto alle mail da parte del titolare del trattamento e dei soggetti da quest’ultimo genericamente, di volta in volta, autorizzati;
- la non chiarezza riguardo al trattamento effettuato dal Titolare per motivi di tutela dei propri diritti: questi trattamenti sono da ritenersi leciti solo se riferiti a contenziosi in atto o a situazioni precontenziose; mentre diventano illeciti se il trattamento viene motivato da finalità difensiva di natura astratta e indeterminata;
- la conservazione delle e-mail per tutta la durata del rapporto di lavoro e anche successivamente al termine dello stesso. Rispetto a quest’ ultimo punto, il Garante ha precisato che, al cessare del rapporto di lavoro, l’account di posta elettronica dovrà essere disattivato e rimosso, inibendo così in modo definitivo la ricezione in entrata delle e-mail e la loro conservazione.
Su altri temi specifici visita la sezione in continuo aggiornamento dedicata al Lavoro |
Gratis le Notizie di Fisco e Tasse. Vai al canale WhatsApp di FISCOeTASSE.com
Ti potrebbero interessare:
- I ricorsi al Garante della privacy - libro di carta
- Responsabilità Civile Illecito Trattamento dati - libro di carta
- La Privacy negli studi professionali (eBook 2022).
- Formulario commentato della privacy - Libro di carta
- Manuale operativo del D.P.O.
- Tutela della Privacy - (Pacchetto 2 eBook)
- Il condominio e la privacy
Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy