Il Garante della privacy sanziona la Regione Lazio per l’illecito controllo di metadati delle e-mail dei dipendenti
No al controllo dei metadati della posta elettronica dei dipendenti senza adeguate tutele per la riservatezza e in violazione delle norme che limitano il controllo a distanza dei lavoratori.
Il caso esaminato nel prosieguo trae origine dalla segnalazione effettuata al Garante per la protezione dei dati personali (di seguito il “Garante”) dal sindacato autonomo Fedirets (Federazione Dirigenti e Direttivi Enti Territoriali e Sanità) relativamente al monitoraggio posto in essere dall’Amministrazione regionale della Regione Lazio (la “Regione”), avente ad oggetto la posta elettronica del personale in servizio presso gli uffici dell’avvocatura regionale. Nel corso dell’istruttoria, l’ente pubblico si difendeva avallando l’anzidetto monitoraggio alla stregua di una verifica interna fondata sul sospetto di una possibile rivelazione a terzi di informazioni protette dal segreto d’ufficio.
Il Garante ha accertato l’effettivo espletamento del monitoraggio del personale dell’avvocatura ad opera della Regione – in particolare dei dipendenti che inviavano messaggi al suddetto sindacato – la quale, a tal fine, si avvaleva dei dati conservati per generiche finalità di sicurezza informatica per il periodo di conservazione di 180 giorni, e, conseguentemente, ha accertato la illiceità della condotta poiché eseguita in assenza di idonei presupposti giuridici ed in violazione dei principi di protezione dei dati e delle disposizioni nazionali di settore che tutelano la dignità delle persone sul luogo di lavoro, con particolare riferimento ai possibili controlli da parte del datore di lavoro in materia di controllo a distanza.
Nel provvedimento, l’Autorità ha chiarito che la raccolta generalizzata e la conservazione per un periodo eccedente i 7 giorni di metadati attinenti all’uso della posta elettronica, quali nel caso di specie giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail, che in quanto forma di corrispondenza è tutelata dalla Costituzione, non sono strumentali allo “svolgimento della prestazione” del dipendente, ai sensi dello Statuto dei lavoratori. Il trattamento di dati personali posto in essere ha, tra l’altro, consentito al datore di lavoro di entrare in possesso di informazioni relative anche alla sfera privata dei dipendenti, a partire dalle loro opinioni, contatti e fatti non attinenti all’attività lavorativa.
- Il Garante con tale provvedimento ha richiamato i seguenti principi, che il titolare del trattamento in questione avrebbe dovuto rispettare
- principio di liceità, correttezza e trasparenza ai sensi degli artt. 5, par. 1, lett. a), 12 e 13 del Regolamento generale sulla protezione dei dati personali (il “Regolamento”);
- principio di limitazione della conservazione ai sensi dell’art. 5, par. 1, lett. e), del Regolamento;
- principio di responsabilizzazione, ai sensi dell’art. 5, paragrafo 2, esplicitato ulteriormente dall’articolo 24, paragrafo 1, del Regolamento;
- principio di “protezione dei dati fin dalla progettazione e per impostazione predefinita”, ai sensi dell’art. 25 del Regolamento (cfr. Linee guida 4/2019 sull’articolo 25 – Protezione dei dati fin dalla progettazione e per impostazione predefinita).
Il trattamento di metadati relativi all’utilizzo degli account di posta elettronica da parte dei dipendenti deve avvenire nel rispetto da parte del titolare dei principi di protezione dei dati (art. 5, par. 1, del Regolamento) il quale deve essere in grado di comprovarlo (art. 5, par. 2, del Regolamento) anche con riguardo alle adeguate misure tecniche e organizzative messe in atto al fine di garantire il rispetto della disciplina in materia di protezione dei dati e di quella di settore eventualmente applicabile (art. 24, par. 1, del Regolamento), segnatamente:
- il titolare del trattamento deve adottare misure appropriate per fornire all’interessato tutte le informazioni di cui agli artt. 13 e 14 del Regolamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (art. 12 del Regolamento) indicando nell’informativa la “base giuridica del trattamento” e il “periodo di conservazione dei dati personali” (art. 13, par. 1, lett. c) e par. 2, lett. a), del Regolamento) per fornire all’interessato una chiara e trasparente rappresentazione del complessivo trattamento effettuato, con particolare riguardo alla raccolta e alla conservazione dei metadati relativi all’utilizzo della posta elettronica;
- avviare le specifiche procedure di garanzia previste dalla legge all’art. 4, comma 1, della l. n. 300/1970: l’accordo sindacale o, in alternativa, l’autorizzazione pubblica.N.B.: la generalizzata raccolta e la conservazione di tali metadati, per un lasso di tempo più esteso rispetto a 7 giorni, non può, invece, ricondursi all’ambito di applicazione dell’art. 4, comma 2, della predetta l. n. 300/1970 rientrando, piuttosto, tra gli strumenti funzionali alla tutela dell’integrità del patrimonio informativo del titolare nel suo complesso, di cui al comma 1 del medesimo art. 4;
- il titolare del trattamento deve dare conto del trattamento di tali metadati nella policy per l’utilizzo degli strumenti informatici, il cui obiettivo è difatti quello di riepilogare concetti e responsabilità connessi con le principali regole di comportamento alle quali si è chiamati ad attenersi per evitare rischi di tipo informatico nel rispetto della normativa italiana vigente sulla protezione dei dati personali;
- limitarne la conservazione: i dati personali devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5, par. 1, lett. e), del Regolamento);
- il titolare deve adottare politiche interne e attuare misure che soddisfino, tra altri principi, anche quelli fondamentali di protezione dei dati fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default) che potrebbero concretizzarsi, tra l’altro, anche nel minimizzare il trattamento dei dati, nello pseudonimizzare i dati o nell’offrire soluzioni improntate alla trasparenza e alla sicurezza (cfr. “Linee guida 4/2019 sull’articolo 25 – Protezione dei dati fin dalla progettazione e per impostazione predefinita”);
- il trattamento dei metadati relativi all’utilizzo della posta elettronica va effettuato solo in seguito ad una preliminare valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35 del Regolamento.
Tenuto conto delle indicazioni fornite anche a livello europeo sul punto, il Garante rileva che il trattamento in questione, consistente nella sistematica raccolta di detti metadati (incluse le informazioni relative al mittente/destinatario e all’oggetto di ciascuna e-mail), nella memorizzazione per un tempo superiore ai 7 giorni e nella possibilità di effettuare estrazioni, elaborazioni e verifiche su tali metadati, comporta rischi specifici per i diritti e le libertà degli interessati nel contesto lavorativo (art. 35 del Regolamento).