Metadati e Sorveglianza Lavorativa: Il Garante Privacy Impone Nuove Regole

Introduzione

Il recente documento di indirizzo del Garante per la privacy relativo alla gestione della posta elettronica aziendale ha sollevato non poche preoccupazioni nel mondo imprenditoriale.

Durante indagini effettuate dal Garante per la Protezione dei Dati Personali, è stato evidenziato un rischio significativo nel trattamento dei dati personali nel contesto lavorativo.

In particolare, è stato rilevato che i programmi e i servizi di gestione della posta elettronica in cloud, forniti da terze parti, possono essere configurati per raccogliere automaticamente e in maniera estensiva i metadati degli account email dei dipendenti, come data, ora, mittente, destinatario, oggetto e dimensione dell’email.

Questi dati possono essere conservati per periodi prolungati, limitando spesso la capacità dell’azienda cliente di modificare le impostazioni predefinite del software per impedire tale raccolta o per ridurre il tempo di conservazione.

Tale prassi solleva questioni di privacy e controllo sui dati personali, sottolineando la necessità per le aziende di esercitare una maggiore influenza sulle modalità con cui i dati dei loro dipendenti vengono gestiti dai fornitori di servizi cloud.

Le imprese si trovano a dover navigare tra complessi problemi organizzativi e gestionali che, secondo alcune interpretazioni, non sarebbero stati pienamente considerati nel provvedimento.

Cosa sono i metadati ?

Essi agiscono come etichette o note adesive virtuali che si allegano a un elemento digitale, quale può essere un’immagine, un documento, una pagina internet o un pezzo musicale, con lo scopo di fornire una descrizione del suo contenuto e/o caratteristiche.

Queste etichette virtuali sono essenziali per l’organizzazione e la gestione delle informazioni online. Nonostante possano sembrare innocue, nascondono la capacità di divulgare una quantità considerevole di dati.

I metadati possono contenere informazioni quali la data e l’ora in cui un file è stato generato, chi l’ha creato, dove si trovava e le alterazioni che ha subito.

Dal punto di vista della tutela della privacy, sono in grado di svelare abitudini, reti sociali e persino le intenzioni dell’utente, il tutto senza necessità di accedere direttamente al contenuto dei dati stessi.

Il dibattito riguardante i metadati ha guadagnato rilevanza a seguito di scandali e discussioni sulla sorveglianza da parte degli stati e sul trattamento dei dati da parte delle imprese.

L’accumulo e l’esame dei metadati da parte di enti possono rivelare aspetti molto privati della vita delle persone, innescando dibattiti sia di natura etica che giuridica.

Di conseguenza, diventa cruciale che le politiche di privacy e le leggi sulla salvaguardia dei dati considerino i metadati con la stessa serietà riservata ai dati personali.

È importante essere trasparenti riguardo le modalità di raccolta, elaborazione e conservazione dei metadati per assicurare la tutela dei diritti individuali in un’era dominata dalla tecnologia.

Le premesse: il rapporto tra cloud computing e privacy

Nel luglio del 2012, il Gruppo Articolo 29, precursore del Comitato Europeo per la Protezione dei Dati, ha fornito un’analisi approfondita delle implicazioni del cloud computing sulla privacy e la protezione dei dati con il Parere 5/2012 (WP 196).

Questo documento è stato un punto di riferimento per i fornitori di servizi di cloud computing e gli utenti all’interno dello Spazio Economico Europeo (SEE), delineando le preoccupazioni e le strategie per la gestione sicura dei dati personali.

Il WP 196 ha esaminato i rischi specifici legati alla privacy e alla protezione dei dati nel cloud, proponendo linee guida su come le responsabilità legate al trattamento dei dati dovrebbero essere gestite.

Il parere ha sottolineato la necessità di conformità con la Direttiva 95/46/CE, allora normativa cardine sulla protezione dei dati nell’UE, enfatizzando le raccomandazioni per assicurare che i dati personali fossero trattati in modo sicuro e legale.

L’importanza di questo parere risiede nel suo ruolo di orientamento per le aziende nel garantire che le operazioni nel cloud rispettino i principi fondamentali di sicurezza e legalità.

Il Gruppo Articolo 29, con il suo compito di fornire pareri sull’interpretazione delle norme relative alla protezione dei dati e promuovere l’applicazione uniforme della direttiva negli Stati membri, ha gettato le basi per una comprensione più chiara delle responsabilità legali in un ambiente tecnologico in rapida evoluzione.

Oggi, con l’avvento del GDPR che ha sostituito la Direttiva 95/46/CE, il paesaggio normativo è diventato ancora più stringente e articolato.

La conformità richiede una continua valutazione dei rischi e l’adozione di misure tecniche e organizzative adeguate.

Le aziende devono pertanto rimanere vigili e proattive nell’adattare le loro pratiche di cloud computing alle attuali esigenze legislative, guidate da un principio di responsabilizzazione e trasparenza.

In tale contesto, il ruolo degli esperti di privacy è cruciale per interpretare e navigare le complessità del quadro normativo attuale, assicurando che le imprese non solo rispettino la legge ma anche adottino le migliori pratiche per la sicurezza e la fiducia dei loro utenti.

Il documento WP 196 esaminava i rischi per la privacy e la protezione dei dati associati al cloud computing e forniva linee guida su come i responsabili del trattamento dei dati dovrebbero gestire il trasferimento e la protezione dei dati personali nel contesto del cloud.

Il parere sottolineava l’importanza della conformità con la Direttiva 95/46/CE (all’epoca la principale normativa sulla protezione dei dati nell’UE) e forniva raccomandazioni su come garantire che i dati personali fossero trattati in modo sicuro e legale quando venivano memorizzati o processati nel cloud.

Il rapporto tra cloud computing e privacy è stato da sempre complesso e fonte di potenziali conflitti, come evidenziato dal Gruppo Articolo 29, predecessore dell’attuale Comitato Europeo per la Privacy (EDPB), istituito in conformità con gli articoli 68 e seguenti del Regolamento Generale sulla Protezione dei Dati (GDPR).

Il documento WP 196 del Gruppo di lavoro dell’articolo 29, ha messo in evidenza una problematica di grande rilevanza: la disparità di potere tra piccole realtà aziendali e grandi conglomerati informatici. Questo squilibrio di forze, accentuato dal dominio quasi incontrastato delle grandi case informatiche, crea una situazione in cui gli enti minori si trovano svantaggiati nella negoziazione di termini contrattuali equi per la protezione dei dati.

Tale disparità può compromettere la capacità delle piccole entità di tutelare efficacemente i dati dei propri utenti, rischiando così di minare la privacy e la sicurezza dei dati personali. In questo contesto, la trasparenza diventa un principio fondamentale: le linee guida del WP 196 hanno insistito sulla necessità di adottare pratiche chiare e comprensibili, in modo che gli utenti siano pienamente informati su come i loro dati vengono gestiti.

La questione sollevata richiede un’attenzione particolare da parte dei legislatori, dei regolatori e degli esperti di privacy per cercare soluzioni che possano ridurre questo divario di potere. È essenziale che tutte le parti interessate collaborino per creare un ambiente digitale più equo, dove anche le piccole realtà possano operare su un piano di parità con i giganti del settore.

Un problema eminentemente politico ?

Nonostante l’importanza e la pertinenza dei documenti normativi e delle linee guida emesse da enti come il Gruppo Articolo 29, persiste una certa delusione circa l’efficacia di tali misure. L’Europa si trova di fronte a una sfida significativa: sembra talvolta impotente contro le decisioni unilaterali delle grandi piattaforme tecnologiche, che impongono le loro condizioni senza incontrare un adeguato contrappeso normativo o regolamentare.

Tale squilibrio solleva una questione di equità fondamentale: la dimensione di un’entità non dovrebbe mai costringere l’accettazione di termini e condizioni che contravvengono alla normativa sulla privacy. Questo principio è cruciale per resistere alla pressione che le grandi piattaforme possono esercitare sui piccoli operatori, che a volte si trovano costretti ad accettare standard che minacciano la sicurezza dei dati degli utenti.

La questione solleva anche il tema più ampio della sovranità dei dati e della capacità dell’Europa di far valere le proprie norme al di fuori dei propri confini, soprattutto in un contesto globale dove i dati attraversano facilmente le frontiere nazionali. La tensione tra la necessità di sicurezza nazionale e la protezione della privacy individuale è un campo di battaglia legislativo e giuridico che richiede un equilibrio delicato.

Nonostante le raccomandazioni siano state proposte, la loro implementazione è stata tardiva e in alcuni casi ignorata, persino da organizzazioni influenti come la Commissione Europea. Questo è stato messo in luce dall’inchiesta iniziata nel maggio 2021 dal Comitato Europeo per la Protezione dei Dati (EDPB) riguardante gli accordi tra la Commissione e colossi del settore tecnologico quali Amazon e Microsoft. Tale indagine si è poi ampliata per indagare le procedure attraverso le quali le autorità pubbliche europee si dotano di servizi cloud. Questo approfondimento evidenzia l’incremento di attenzione verso la conformità alle leggi sulla privacy nel processo di acquisizione e utilizzo di questi servizi da parte degli enti pubblici.

Come possono le istituzioni europee e nazionali assicurare una tutela efficace dei dati personali di fronte a giganti tecnologici che operano su scala globale? La risposta richiede un impegno collettivo e multifaccettato. È necessario un approccio concertato che coinvolga legislatori, autorità di regolamentazione, esperti di privacy e sicurezza dei dati, insieme ai cittadini, che sono gli ultimi beneficiari ma anche i primi custodi della loro privacy.

Il GDPR e altri regolamenti simili sono stati concepiti per assicurare che tutti i giocatori sul mercato, indipendentemente dalla loro grandezza, operino su un terreno di gioco equo. I diritti degli individui devono essere protetti e preservati, indipendentemente dalla potenza contrattuale delle entità coinvolte. La legislazione europea impone che i termini e le condizioni offerti agli utenti siano non solo trasparenti, ma anche equi e in linea con la legge.

Affrontare questo diseguaglianza di potere richiederà più che semplici raccomandazioni; sarà necessario un rinnovato vigore nelle azioni normative, un rafforzamento delle autorità di regolamentazione e un impegno globale per stabilire standard di privacy che possano effettivamente influenzare le pratiche delle grandi piattaforme. Solo attraverso una collaborazione internazionale e l’adozione di misure concrete sarà possibile garantire che la protezione dei dati personali resti una priorità in un mondo sempre più dominato dalla tecnologia.

Riconoscere l’importanza di questa sfida e lavorare insieme per affrontarla non è solo una responsabilità istituzionale; è un imperativo etico che richiede un’azione decisa e immediata.

Le linee guida e i pareri come il WP 196 sono passi nella giusta direzione, ma devono essere accompagnati da una volontà politica forte e da una legislazione incisiva, capace di tenere il passo con l’innovazione tecnologica e le sue implicazioni globali.

Solo attraverso l’impegno congiunto di legislatori, regolatori e professionisti del settore sarà possibile contrastare la tendenza all’accentramento del potere nelle mani di pochi attori dominanti e assicurare che la privacy rimanga un diritto inalienabile e universalmente garantito.

Queste verifiche mettono in evidenza un problema centrale: nonostante ci siano direttive e regolamenti stabiliti, persiste una discrepanza tra la formulazione teorica e l’attuazione pratica delle regole per la sicurezza dei dati.

La distanza tra ciò che è stabilito dalle norme e ciò che viene realmente messo in atto rappresenta un aspetto delicato che necessita di una vigilanza e di uno sforzo continuo per garantire che tutte le organizzazioni, sia pubbliche che private, rispettino pienamente non solo il testo ma anche l’intento delle leggi sulla riservatezza dei dati.

L’obiettivo principale è assicurare che le leggi sulla protezione dei dati siano effettivamente osservate in modo che ogni partecipante nel mercato, a prescindere dalla sua grandezza, sia obbligato a mantenere standard di tutela elevati.

Questo è l’unico modo per garantire una difesa efficace delle informazioni personali in un contesto globale sempre più controllato da un ristretto numero di potenti soggetti internazionali.

In tale contesto, la problematica non è puramente tecnologica ma anche di natura morale e politica. È necessaria una collaborazione tra governi, enti regolatori, imprese e popolazione per sviluppare uno spazio digitale che onori i diritti umani essenziali e incoraggi una consapevolezza sulla riservatezza che sia ancorata non solo nella normativa ma anche nella condotta quotidiana delle entità coinvolte.

L’art. 4 dello Statuto dei Lavoratori

Originariamente introdotto in un’epoca in cui il controllo a distanza si limitava all’uso di telecamere, l’articolo è stato aggiornato nel 2015 con il Jobs act, escludendo dalla necessità di autorizzazione preventiva l’uso di strumenti tecnologici impiegati dai lavoratori per svolgere la loro prestazione lavorativa.

La sfida per le aziende risiede ora nel comprendere come questo storico articolo si intersechi con le moderne esigenze di privacy e le pratiche lavorative in un’era digitale, e come bilanciare questi aspetti rispettando il quadro normativo attuale.

La nuova normativa sulla privacy impone ai datori di lavoro un approccio più collaborativo e partecipativo.

Prima di implementare le regole per la gestione dei messaggi di posta elettronica dei lavoratori, i datori di lavoro sono tenuti a intraprendere un percorso di dialogo con le rappresentanze sindacali.

Questo processo è radicato nella normativa italiana, in particolare nell’articolo 4 dello Statuto dei Lavoratori, che sottolinea l’importanza di cercare un accordo sindacale.

Tale intesa è fondamentale per garantire che le nuove politiche siano equilibrate e rispettino i diritti dei lavoratori, mantenendo al contempo la necessaria efficienza operativa. Questo passaggio sindacale non è solo una formalità ma un elemento cruciale che assicura la trasparenza e l’aderenza ai principi di giustizia e correttezza nella gestione delle informazioni personali nel contesto lavorativo.

Il cammino verso la conformità alle nuove disposizioni sulla privacy in ambito lavorativo è delineato da specifiche procedure.

In assenza di un accordo sindacale, i datori di lavoro si trovano di fronte all’obbligo di richiedere un’autorizzazione formale all’Ispettorato del lavoro.

Questo passaggio è sancito dalla nota 2572/2023 dell’Ispettorato, che precisa come tale richiesta possa essere avanzata solo dopo aver dimostrato l’inefficacia del dialogo sindacale, o l’assenza di rappresentanze sindacali aziendali (Rsa/Rsu).

Non è ammesso saltare questa fase cruciale; la tentata negoziazione sindacale è un prerequisito indispensabile prima di poter procedere con la domanda amministrativa.

Questa procedura garantisce che ogni passaggio verso la regolamentazione della privacy sul posto di lavoro sia improntato alla collaborazione e al rispetto dei diritti dei lavoratori.

La conformità alle normative sulla privacy in ambito lavorativo richiede non solo l’adesione alle procedure formali ma anche il rispetto dei ruoli collettivi all’interno dell’organizzazione aziendale. La nota 2572/2023 dell’Ispettorato del lavoro pone in evidenza che il consenso individuale dei lavoratori, anche se informato, non può sostituire un accordo sindacale.

Questa distinzione rafforza il principio che le rappresentanze collettive dei lavoratori e i singoli impiegati non sono interscambiabili in materia di negoziazione dei termini di gestione della privacy.

In altre parole, un accordo collettivo è imprescindibile e non può essere eluso attraverso il consenso individuale, sottolineando così l’importanza della rappresentanza sindacale nelle decisioni che influenzano la collettività dei lavoratori.

Le aziende che operano all’interno di un unico territorio provinciale devono rivolgersi all’Ispettorato del lavoro competente per quella specifica provincia.

Al contrario, le imprese con sedi produttive dislocate in più province sono tenute a presentare la loro istanza alla sede centrale dell’Ispettorato.

Questa distinzione assicura un processo ordinato e centralizzato per le aziende più grandi, mentre mantiene un approccio locale per quelle con una presenza territoriale più limitata, facilitando così la gestione e il trattamento delle richieste in maniera efficiente e ordinata.

Le richieste di autorizzazione, tuttavia, per la gestione dei metadati da parte delle aziende non sono automaticamente garantite.

La valutazione di tali istanze da parte dell’Ispettorato del lavoro si baserà sugli orientamenti forniti dal Garante per la privacy, in particolare riguardo alla gestione dei metadati. Il Garante ha espresso preoccupazioni specifiche, rilevando come l’archiviazione indiscriminata dei metadati possa sfociare in una sorveglianza eccessiva e generalizzata.

Pertanto, ogni domanda sarà esaminata con estrema attenzione al fine di evitare il rischio di un controllo pervasivo sui lavoratori, bilanciando la necessità di protezione dei dati personali con le esigenze operative aziendali.

ATTENZIONE

In relazione alla valutazione della capacità di un’apparecchiatura di eseguire il controllo a distanza, è necessario adottare un approccio metodologico specifico.

Questo approccio non deve basarsi sull’ipotetica abilità intrinseca dell’apparecchiatura di effettuare il controllo, ma piuttosto sull’effettiva capacità derivante dal modo in cui l’apparecchiatura viene utilizzata nella pratica.

La distinzione tra la potenzialità teorica e quella pratica di controllo è chiaramente delineata nel testo della legge, che al suo secondo comma fa riferimento agli “impianti di controllo” in termini della loro effettiva possibilità di esercitare un controllo a distanza.

Cosa è successo in Lazio?

Il 1° dicembre 2022, l’Autorità Garante per la protezione dei dati personali ha imposto alla Regione Lazio un’ordinanza di ingiunzione con una multa di 100.000 euro. Tale azione è stata una risposta alla verifica non autorizzata dei metadati nelle e-mail dei lavoratori della Regione, condotta senza le necessarie precauzioni per la privacy e contravvenendo alle leggi che circoscrivono la sorveglianza a distanza degli impiegati.

Il problema è venuto alla luce dopo che un sindacato ha denunciato l’attività di sorveglianza attuata dall’ente sulle e-mail dei dipendenti dell’ufficio legale regionale. La Regione Lazio aveva poi intrapreso un’indagine interna motivata dal sospetto di una divulgazione non autorizzata di informazioni confidenziali, monitorando dettagli come orari, destinatari, temi delle e-mail e dimensioni degli allegati.

L’Autorità per la protezione dei dati personali ha stabilito che la Regione ha condotto attività di sorveglianza sui membri del proprio ufficio legale, focalizzandosi in particolare su coloro che comunicavano con un determinato sindacato.

Tale monitoraggio è stato realizzato utilizzando dati conservati per ragioni generali di sicurezza informatica per un periodo di 180 giorni, senza una base legale adeguata.

Ciò ha costituito una violazione dei principi fondamentali di tutela dei dati e delle normative che regolamentano il monitoraggio a distanza dei lavoratori, poiché la raccolta globale e la conservazione prolungata dei metadati email non sono necessarie per le attività lavorative del personale, come previsto dallo Statuto dei lavoratori.

In aggiunta, il processo di gestione dei dati personali attuato ha permesso al datore di lavoro di acquisire informazioni relative alla vita privata dei dipendenti, incluse le loro opinioni e relazioni personali, che non hanno rilevanza per il loro ruolo professionale.

Oltre a imporre una multa, l’Autorità Garante per la privacy ha proibito alla Regione Lazio di procedere con qualsiasi trattamento ulteriore dei metadati associati all’uso della posta elettronica dei suoi impiegati, ordinando inoltre l’eliminazione dei dati raccolti in modo non conforme alla legge.

L’azione intrapresa il 1° dicembre 2022 contro la Regione Lazio ha messo in risalto l’uso controverso dei metadati email dei lavoratori per svolgere verifiche interne. Questa situazione evidenzia le difficoltà che enti pubblici e privati incontrano nel trovare un equilibrio tra la necessità di sicurezza e il rispetto della privacy all’interno dell’ambiente lavorativo.

L’uso di metadati delle email dei dipendenti da parte della Regione Lazio solleva preoccupazioni significative riguardo la privacy e l’aderenza alle normative sulla tutela dei dati. Anche se i metadati non corrispondono al contenuto effettivo delle comunicazioni, possono fornire dettagli approfonditi su aspetti come la natura, il timing e la frequenza degli scambi, che potrebbero compromettere la privacy se gestiti senza adeguate misure di sicurezza.

Il caso in questione serve da avvertimento per altre entità: è cruciale che qualsiasi sorveglianza sul posto di lavoro sia eseguita con grande cautela e in linea con le normative sulla protezione dei dati, come il Regolamento Generale sulla Protezione dei Dati (GDPR), che stabilisce regole precise su modalità e motivazioni della raccolta e del trattamento dei dati personali.

L’intervento dell’autorità garante mette in risalto la necessità di politiche trasparenti e ben definite per il monitoraggio dei lavoratori e di processi che assicurino il rispetto dei diritti degli individui.

Questo incidente ricorda anche alle organizzazioni l’importanza di prendere sul serio le leggi sulla protezione dei dati e di applicarle costantemente per evitare penalità e per preservare la fiducia sia dei lavoratori che del pubblico.

Il documento di indirizzo del da Garante per la privacy in sintesi

Introduzione

Nell’ambito lavorativo, l’uso di servizi di posta elettronica in cloud pone questioni significative relative alla raccolta e alla gestione dei metadati.

Secondo Lexology, è stato evidenziato dal Garante per la protezione dei dati il rischio che programmi e servizi informatici possano raccogliere e conservare metadati come giorno, ora, mittente, destinatario, oggetto e dimensione dell’email, spesso senza lasciare al cliente la possibilità di modificare le impostazioni predefinite per disabilitare tale raccolta o ridurre il periodo di conservazione

Padlex sottolinea che alcuni programmi possono raccogliere questi metadati in modo predefinito, limitando la capacità del datore di lavoro di disabilitare questa funzionalità o di limitare il periodo di conservazione delle informazioni.

TechTarget evidenzia le sfide nella sicurezza delle email basate su cloud, come la difficoltà nel garantire la riservatezza dei messaggi e nella protezione dei dati sensibili.

Infine, uno studio pubblicato su ScienceDirect discute le limitazioni dei protocolli email in cloud e la necessità di garantire servizi come la confidenzialità dei messaggi e la sicurezza nella trasmissione.

In sintesi, le aziende devono essere consapevoli dei rischi associati alla raccolta di metadati tramite i servizi di posta elettronica in cloud e devono assicurarsi di adottare misure di conformità per proteggere la privacy dei dipendenti.

È fondamentale che i datori di lavoro valutino attentamente le politiche dei fornitori di servizi cloud e implementino soluzioni che permettano un controllo più stretto sui dati raccolti, nonché un adeguato livello di sicurezza per i dati sensibili trattati attraverso tali piattaforme.

La normativa in materia di protezione dei dati personali

Il Garante ha ribadito la critica importanza della confidenzialità nelle comunicazioni.

Questo include non solo il contenuto delle email, ma anche i dettagli apparentemente secondari come i metadati e i file allegati. I metadati, che possono rivelare informazioni come l’ora di invio, il destinatario e la dimensione del file, possono sembrare innocui ma in realtà possono rivelare tanto quanto il contenuto stesso.

La protezione di questi aspetti è radicata nella Costituzione italiana. In particolare, gli articoli 2 e 15 sono invocati come baluardi di questa tutela.

L’articolo 2 sostiene la dignità personale come fondamento inviolabile, garantendo ad ogni individuo lo sviluppo libero e completo della propria personalità all’interno della comunità sociale.

L’articolo 15 protegge la corrispondenza privata da occhi indiscreti, sottolineando che la privacy delle comunicazioni è essenziale per il mantenimento della dignità personale.

Questa enfasi sulla segretezza delle comunicazioni riflette una comprensione profonda di come la privacy sia essenziale per l’autonomia individuale e per il ruolo dell’individuo nella società.

La protezione dei dati personali non è solo una questione di conformità legale, ma è una questione di rispetto per l’essenza stessa dell’umanità e della libertà individuale.

In un’era digitale dove i dati personali sono sempre più esposti e vulnerabili a intrusioni non autorizzate, il Garante sottolinea la necessità di un impegno costante per salvaguardare questi diritti fondamentali.

Questo provvedimento serve come un promemoria che la tutela della privacy non è statica ma richiede una vigilanza continua e adattamenti alle nuove sfide poste dalla tecnologia e dai cambiamenti sociali.

Questo si riflette nella legittima aspettativa di riservatezza anche all’interno del contesto lavorativo, sia pubblico che privato.

Le aziende devono quindi operare entro un quadro giuridico che rispetti sia le norme nazionali che le direttive internazionali sulla privacy e la protezione dei dati.

Il Garante per la protezione dei dati personali richiama l’attenzione sull’uso di programmi e servizi informatici che comportano il trattamento di dati personali nel contesto lavorativo. Questi dati possono riguardare soggetti identificati o identificabili, che il Regolamento definisce come “interessati”.

In qualità di titolare del trattamento, il datore di lavoro deve assicurarsi che ci sia una base legale adeguata prima di iniziare qualsiasi trattamento dei dati personali dei dipendenti tramite questi strumenti.

Il Regolamento (GDPR) stabilisce i requisiti per la legittimità del trattamento dei dati (art. 5 e 6), che comprendono principi come la liceità, la correttezza e la trasparenza.

Inoltre, l’articolo 88 pone delle condizioni specifiche per l’uso corretto delle tecnologie nel luogo di lavoro, prevedendo una protezione aggiuntiva per i lavoratori e le loro informazioni personali.

Questo significa che, prima di implementare qualsiasi tecnologia che tratta dati personali, il datore di lavoro deve valutare attentamente e garantire che il trattamento sia giustificato, proporzionato e conforme alle normative vigenti.

1. Gli Stati membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, in particolare per finalità di assunzione, esecuzione del contratto di lavoro, compreso l’adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, protezione della proprietà del datore di lavoro o del cliente e ai fini dell’esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro.

2. Tali norme includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune e i sistemi di monitoraggio sul posto di lavoro.

3. Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 entro il 25 maggio 2018 e comunica senza ritardo ogni successiva modifica. (¹)

In particolare, dovrà quindi essere sempre verificata la sussistenza dei presupposti di liceità

l’obbligo per il datore di lavoro di assicurarsi che ogni trattamento di dati personali dei dipendenti sia legittimo, rispettando i requisiti stabiliti da diverse fonti normative.

Articolo 4 della Legge n. 300 del 1970 (Statuto dei Lavoratori): riguarda l’uso degli impianti audiovisivi e altri dispositivi di sorveglianza nel luogo di lavoro in Italia. Utilizzo degli impianti audiovisivi: Questi dispositivi possono essere utilizzati solo per motivi ben definiti: necessità organizzative, produttività, sicurezza sul lavoro e protezione dei beni aziendali. Non possono essere installati e usati liberamente per sorvegliare i dipendenti Accordo collettivo: Prima di installare questi sistemi, l’azienda deve raggiungere un accordo con i rappresentanti sindacali dei lavoratori. Se l’azienda ha sedi in diverse province o regioni, l’accordo deve essere stipulato con sindacati nazionali rappresentativi. Se non si raggiunge un accordo, l’azienda deve ottenere un’autorizzazione dall’Ispettorato Nazionale del Lavoro, che può essere richiesta alla sede territoriale competente o alla sede centrale se l’azienda ha unità in diverse località Eccezioni: La regola dell’accordo non si applica a strumenti che i lavoratori usano per svolgere il loro lavoro, come computer o altri dispositivi tecnologici, né ai sistemi per registrare ingressi e presenze sul luogo di lavoro. Informazioni raccolte: Le informazioni ottenute tramite questi dispositivi possono essere usate in relazione al rapporto di lavoro, ma solo se i lavoratori sono adeguatamente informati su come vengono usati i dispositivi e come vengono effettuati i controlli. Inoltre, deve essere rispettata la normativa sulla privacy (decreto legislativo n. 196/2003).
Articolo 114 del Codice della Privacy: Fa riferimento allo Statuto dei Lavoratori per quanto riguarda il trattamento dei dati dei dipendenti, richiamando i principi e le limitazioni ivi contenuti.
Articolo 8 della Legge n. 300 del 1970: Vietato al datore di lavoro acquisire dati non strettamente necessari per valutare l’attitudine professionale del lavoratore. Questo significa che informazioni personali che non hanno un impatto diretto sulla capacità lavorativa del dipendente non possono essere raccolte o trattate.
Articolo 10 del Decreto Legislativo n. 276 del 2003: Riafferma e specifica le restrizioni sull’acquisizione e il trattamento dei dati personali dei lavoratori, ponendo enfasi sulla protezione della loro sfera privata.
Articolo 113 del Codice della Privacy: Rinvia alle disposizioni dello Statuto dei Lavoratori e del Decreto Legislativo n. 276/2003, integrandole nel contesto più ampio della protezione dei dati personali.

Articoli 113 e 114 del Codice della Privacy Italiano: Questi articoli sono considerati norme particolarmente dettagliate e protettive per i lavoratori nell’ambito del trattamento dei loro dati personali. Essi forniscono disposizioni specifiche che integrano e rafforzano le garanzie previste dall’articolo 88 del Regolamento Generale sulla Protezione dei Dati (GDPR).

Condizione di Liceità: Il rispetto degli articoli 113 e 114 del Codice italiano è una condizione necessaria per la legalità del trattamento dei dati personali. Se tali disposizioni non sono osservate, il trattamento dei dati non è considerato lecito.

Sanzioni: La violazione di queste norme può comportare sanzioni amministrative pecuniarie, come stabilito dall’articolo 83, paragrafo 5, lettera d) del GDPR, che prevede multe per non conformità ai principi di trattamento dei dati personali.

Responsabilità Penale: Oltre alle sanzioni amministrative, il testo indica che la violazione delle norme può anche portare a responsabilità penale secondo l’articolo 171 del Codice della Privacy italiano. Ciò significa che il datore di lavoro o chiunque altro responsabile del trattamento illecito potrebbe affrontare conseguenze legali oltre alle multe.

Il titolare del trattamento è inoltre tenuto a rispettare i principi generali del trattamento e a porre in essere tutti gli adempimenti previsti dalle disposizioni normative in materia di protezione dei dati personali anche con riguardo alla necessità di fornire agli interessati in modo corretto e trasparente una chiara rappresentazione del complessivo trattamento effettuato, consentendo agli stessi di disporre di tutti gli elementi informativi essenziali previsti dal Regolamento e di essere pienamente consapevole, prima che il trattamento abbia inizio, delle caratteristiche dello stesso

Principi Generali del Trattamento (Articoli 5, 24 e 25 del GDPR): Il titolare del trattamento deve aderire ai principi fondamentali del GDPR, che includono la liceità, correttezza e trasparenza; limitazione delle finalità; minimizzazione dei dati; esattezza; limitazione della conservazione; integrità e riservatezza; e responsabilità. Deve inoltre garantire che il trattamento sia progettato per rispettare la privacy (privacy by design) e che di default siano trattati il minor numero di dati personali necessari (privacy by default).

Adempimenti Normativi (Articoli 12, 13, 14, 30, 32 e 35 del GDPR): Il titolare è tenuto a rispettare tutti gli obblighi normativi relativi alla protezione dei dati. Questo include la necessità di fornire informazioni trasparenti e facilmente accessibili sugli aspetti del trattamento dei dati personali (articoli 12, 13 e 14), la tenuta di un registro delle attività di trattamento (articolo 30), l’implementazione di misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (articolo 32), e la conduzione di una valutazione d’impatto sulla protezione dei dati per i trattamenti che possono presentare un alto rischio per i diritti e le libertà delle persone fisiche (articolo 35).

Informazione ai Soggetti Interessati: Il titolare deve assicurarsi che le persone interessate siano informate in modo chiaro e trasparente riguardo al trattamento dei loro dati personali. Questo significa fornire loro tutte le informazioni essenziali previste dal GDPR in un linguaggio comprensibile, prima dell’inizio del trattamento.

Inoltre, in attuazione del principio di “responsabilizzazione” ( spetta al titolare valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali

Principio di Responsabilizzazione (Articolo 5, paragrafo 2, e Articolo 24 del GDPR): Questo principio impone al titolare del trattamento la responsabilità di adottare misure proattive per assicurarsi che il trattamento dei dati personali sia conforme al GDPR. Il titolare deve essere in grado di dimostrare la conformità con il regolamento, il che include documentare le decisioni prese in relazione al trattamento dei dati e le misure di sicurezza implementate.

Valutazione del Rischio: Il titolare deve valutare se i trattamenti previsti possano comportare un rischio elevato per i diritti e le libertà delle persone fisiche. Questa valutazione deve considerare le tecnologie utilizzate, la natura e l’ambito dei dati trattati, il contesto in cui avviene il trattamento e gli obiettivi perseguiti.

Valutazione di Impatto sulla Protezione dei Dati (DPIA) (Considerando 90, Articoli 35 e 36 del GDPR): Se dalla valutazione emerge che il trattamento presenta un rischio elevato, il GDPR richiede che venga effettuata una Valutazione di Impatto sulla Protezione dei Dati (DPIA). La DPIA è un processo sistematico per valutare e mitigare i rischi per i diritti e le libertà individuali che possono derivare dal trattamento dei dati personali. In particolare, deve essere condotta prima di iniziare il trattamento che presenta tali rischi.

Consultazione dell’Autorità di Controllo: Se dalla DPIA emerge che i rischi non possono essere adeguatamente mitigati, l’articolo 36 del GDPR prevede che il titolare del trattamento consulti l’autorità di controllo prima di procedere con il trattamento.

Ergo vi è l’importanza per il titolare del trattamento di adottare un approccio proattivo e responsabile nella gestione dei dati personali, assicurandosi che le attività di trattamento siano sicure e rispettino i diritti dei soggetti interessati. Questo include la realizzazione di una DPIA quando necessario e la possibilità di dover consultare l’autorità di controllo per garantire la conformità alle normative sulla protezione dei dati.

Il trattamento dei metadati nel contesto lavorativo.

La raccolta e memorizzazione di questi dati, in particolare quelli relativi all’uso della posta elettronica, sono state oggetto di specifiche linee guida e provvedimenti che mirano a tutelare la vulnerabilità degli interessati, ovvero i lavoratori.

Vulnerabilità nel Contesto Lavorativo

La “vulnerabilità” menzionata nel testo si riferisce alla posizione di svantaggio in cui possono trovarsi i dipendenti rispetto al controllo che i datori di lavoro possono esercitare sui loro dati personali. Questa situazione è aggravata dal rischio di “monitoraggio sistematico”, un termine utilizzato per descrivere la sorveglianza continua dei lavoratori attraverso la raccolta di dati tramite reti, inclusi i metadati delle email.

Linee Guida e Provvedimenti

Le “Linee guida concernenti la valutazione di impatto sulla protezione dei dati” del Gruppo di lavoro dell’articolo 29 (ora Comitato Europeo per la Protezione dei Dati) forniscono criteri su quando è necessaria una Valutazione di Impatto sulla Protezione dei Dati (DPIA).

Secondo queste linee guida, e come rafforzato da vari provvedimenti a livello nazionale, una DPIA diventa necessaria in particolare quando si tratta della raccolta e memorizzazione di metadati relativi all’uso della posta elettronica.

Implicazioni Pratiche per i Datori di Lavoro

I datori di lavoro devono quindi adottare un approccio cauto e informato quando gestiscono i metadati dei dipendenti.

Devono assicurarsi di fornire informazioni trasparenti ai lavoratori riguardo al trattamento dei loro dati e condurre DPIA quando necessario.

Il mancato rispetto di queste disposizioni può comportare sanzioni significative, come evidenziato dal Garante per la Protezione dei Dati Personali nel provvedimento n. 467 del 2018 e nel successivo provvedimento n. 190 del 2021.

Conclusioni e Raccomandazioni

In conclusione, il trattamento dei metadati nell’ambito della posta elettronica richiede una particolare attenzione per garantire la conformità alle normative sulla protezione dei dati.

È fondamentale che i datori di lavoro comprendano le implicazioni delle loro azioni e adottino misure preventive per proteggere i diritti dei lavoratori. Questo include l’implementazione di politiche adeguate, la formazione del personale sulle pratiche corrette di trattamento dei dati e la verifica costante delle attività per assicurarsi che rimangano entro i confini legali.

Art. 8. (Divieto di indagini sulle opinioni) E’ fatto divieto al datore di lavoro, ai fini dell’assunzione, come nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonche’ su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore.

La disciplina di settore in materia di controlli a distanza

L’articolo 4, comma 1, della Legge n. 300 del 20 maggio 1970, nota come “Statuto dei Lavoratori”, stabilisce in maniera esclusiva gli scopi per cui è permesso l’utilizzo di strumenti che potrebbero consentire un controllo a distanza delle attività dei lavoratori. Ecco una spiegazione dettagliata:

Finalità Consentite: Le finalità per le quali tali strumenti possono essere utilizzati sono limitate a:

Aspetti organizzativi: miglioramento e razionalizzazione dei processi di lavoro.

Il concetto di “aspetti organizzativi” menzionato nel contesto della legge italiana si riferisce al diritto del datore di lavoro di utilizzare strumenti tecnologici per migliorare e razionalizzare i processi di lavoro. Questo significa ottimizzare l’efficienza operativa e la gestione delle risorse umane all’interno dell’azienda. Ecco alcuni esempi pertinenti:

Sistemi di Pianificazione delle Risorse Aziendali (ERP): L’impiego di software ERP che aiuta a integrare e gestire le principali attività aziendali come contabilità, acquisti, progetti, risorse umane e customer relationship management (CRM) può essere considerato un miglioramento organizzativo. Questi sistemi consentono un flusso di informazioni più efficiente e un migliore coordinamento tra diversi dipartimenti.
Strumenti di Project Management: Piattaforme come Asana o Trello possono essere utilizzate per tracciare il progresso dei progetti, assegnare compiti e stabilire scadenze. Questo aiuta a migliorare la collaborazione tra i team e a razionalizzare il processo di lavoro.
Software di Time Tracking: Programmi che monitorano il tempo impiegato dai lavoratori per completare determinate attività possono servire per analizzare la produttività e identificare aree in cui i processi possono essere resi più efficienti.
Sistemi di Controllo Accessi: Tecnologie che regolano l’accesso ai locali aziendali o a sistemi informativi, garantendo che solo il personale autorizzato possa accedere a determinate aree o dati, contribuendo così alla sicurezza e all’ordine organizzativo.
Telelavoro e Strumenti di Collaborazione Online: L’adozione di piattaforme come Zoom o Microsoft Teams per videoconferenze e lavoro a distanza può essere vista come un modo per migliorare la flessibilità organizzativa, consentendo ai dipendenti di lavorare in modo efficace da luoghi remoti.

l’utilizzo di questi strumenti deve essere proporzionato e non deve trasformarsi in un mezzo per il controllo invasivo delle attività dei lavoratori. Inoltre, l’impiego di tali tecnologie deve essere comunicato in anticipo ai lavoratori e, ove necessario, deve essere raggiunto un accordo con i rappresentanti sindacali o ottenuta l’autorizzazione dalle autorità competenti.

Produzione: ottimizzazione dell’output produttivo.

Il termine “produzione” nel contesto della legge italiana si riferisce all’uso di strumenti che possono migliorare e ottimizzare l’output produttivo di un’azienda. Questo include l’implementazione di tecnologie e metodologie che aumentano l’efficienza della produzione, riducono gli sprechi e migliorano la qualità del prodotto finale. Ecco alcuni esempi specifici:

Automazione Industriale: L’introduzione di robot industriali o sistemi automatizzati per assemblare prodotti, gestire materiali o controllare la qualità può portare a una maggiore efficienza produttiva, riducendo i tempi di produzione e minimizzando gli errori umani.
Software di Gestione della Supply Chain: L’uso di sistemi informativi avanzati per gestire la supply chain può ottimizzare l’inventario, migliorare la pianificazione della produzione e ridurre i tempi di inattività, contribuendo a un flusso più efficiente dei materiali e dei prodotti finiti.
Sistemi di Monitoraggio in Tempo Reale: L’impiego di sensori e software che monitorano le macchine e i processi in tempo reale permette di identificare rapidamente eventuali inefficienze o guasti, consentendo interventi tempestivi che mantengono la continuità e l’efficacia della produzione.
Lean Manufacturing: L’applicazione dei principi del Lean Manufacturing per eliminare gli sprechi e migliorare i processi può portare a un incremento dell’output produttivo, assicurando che ogni aspetto della produzione sia il più snello e privo di sprechi possibile.
Formazione e Sviluppo del Personale: Investire nella formazione dei lavoratori per migliorare le loro competenze tecniche può portare a un aumento della produttività. Lavoratori più qualificati sono in grado di operare macchinari complessi con maggiore efficienza e contribuire a processi di produzione più avanzati.

È fondamentale, tuttavia, che l’introduzione di tali strumenti per la produzione sia realizzata nel rispetto delle normative vigenti in materia di privacy e diritti dei lavoratori, assicurando che eventuali forme di monitoraggio non vadano oltre quanto strettamente necessario per raggiungere gli obiettivi produttivi legittimi dell’azienda.

Sicurezza del lavoro: prevenzione di infortuni e garantire un ambiente di lavoro sicuro.

La frase “Sicurezza del lavoro: prevenzione di infortuni e garantire un ambiente di lavoro sicuro” si riferisce all’obbligo per i datori di lavoro di adottare misure e utilizzare strumenti che contribuiscano a prevenire gli infortuni sul lavoro e a creare un ambiente lavorativo sicuro e salubre per i dipendenti. Questo è un aspetto fondamentale della gestione aziendale e della conformità normativa. Ecco alcuni esempi concreti di come questo principio viene applicato:

Sistemi di Videosorveglianza: Installazione di telecamere in aree critiche per monitorare la sicurezza sul posto di lavoro e intervenire rapidamente in caso di incidenti o situazioni pericolose.
Formazione sulla Sicurezza: Programmi regolari di formazione e sensibilizzazione per i dipendenti su pratiche di lavoro sicure, uso corretto delle attrezzature e misure di emergenza.
Equipaggiamento di Protezione Personale (EPP): Fornitura di dispositivi di protezione individuale come caschi, guanti, occhiali protettivi e calzature di sicurezza per ridurre il rischio di infortuni.
Manutenzione Preventiva: Implementazione di un programma di manutenzione preventiva per le macchine e l’attrezzatura per assicurare che siano sempre in condizioni ottimali e non rappresentino un rischio per la sicurezza.
Sistemi di Allarme e Antincendio: Installazione e manutenzione di sistemi di allarme antincendio, estintori e altre misure antincendio per garantire la prontezza nel caso si verifichino incendi.
Valutazioni del Rischio e DPIA: Conduzione regolare di valutazioni dei rischi lavorativi e, se necessario, Valutazioni d’Impatto sulla Protezione dei Dati (DPIA) quando si introducono nuovi strumenti o tecnologie che potrebbero avere implicazioni sulla privacy dei dipendenti.
Ergonomia del Posto di Lavoro: Progettazione degli spazi lavorativi per ridurre lo sforzo fisico e prevenire disturbi muscolo-scheletrici attraverso l’uso di mobili ergonomici e la corretta organizzazione dell’ambiente lavorativo.

Queste misure, tra le altre, contribuiscono a creare un ambiente di lavoro che non solo protegge la salute fisica dei lavoratori ma anche promuove una cultura aziendale che valorizza la sicurezza come priorità fondamentale.

Tutela del patrimonio aziendale: protezione contro furti, danneggiamenti o altre forme di perdite aziendali.

La frase “Tutela del patrimonio aziendale: protezione contro furti, danneggiamenti o altre forme di perdite aziendali” si riferisce all’insieme di strategie e misure adottate da un’azienda per salvaguardare i propri beni materiali e immateriali da eventuali danni o perdite. Questo obiettivo è fondamentale per la stabilità e la crescita di un’impresa. Ecco alcuni esempi di come le aziende possono proteggere il proprio patrimonio:

Sistemi di Sicurezza Fisica: Installazione di sistemi di allarme, serrature di sicurezza, casseforti e porte rinforzate per prevenire intrusioni e furti.
Videosorveglianza: Utilizzo di telecamere di sicurezza per monitorare gli spazi aziendali e deterrenza contro azioni illecite.
Protezione dei Dati Aziendali: Implementazione di firewall, antivirus, e altre misure di cybersecurity per proteggere i dati aziendali da attacchi informatici o data breach.
Politiche di Accesso Controllato: Creazione di protocolli per l’accesso ai dati sensibili dell’azienda, con autenticazione multi-fattore e permessi basati sui ruoli dei dipendenti.
Assicurazioni: Sottoscrizione di polizze assicurative che coprano furti, danneggiamenti e altre potenziali perdite finanziarie.
Audit e Monitoraggio: Conduzione regolare di audit interni ed esterni per rilevare e prevenire frodi o malversazioni.
Formazione dei Dipendenti: Programmi di formazione per sensibilizzare i dipendenti sull’importanza della tutela del patrimonio aziendale e sulle pratiche corrette per prevenire perdite o danneggiamenti.
Backup e Disaster Recovery: Implementazione di soluzioni di backup regolari dei dati critici e piani di disaster recovery per garantire la continuità operativa in caso di eventi imprevisti.

Queste misure non solo proteggono l’azienda da perdite finanziarie dirette, ma aiutano anche a preservare la reputazione aziendale e la fiducia degli stakeholder. È importante che l’adozione di tali misure sia proporzionata al livello di rischio specifico dell’azienda e che sia sempre conforme alle normative vigenti in materia di privacy e protezione dei dati personali.

Garanzie Procedurali:

L’articolo impone che, per poter utilizzare questi strumenti, devono essere rispettate precise garanzie procedurali. Queste includono:

Accordo sindacale: un’intesa tra la direzione aziendale e la rappresentanza sindacale dei lavoratori.
Autorizzazione pubblica: in assenza di un accordo sindacale, è necessaria un’autorizzazione da parte di un organo pubblico competente.

Le modifiche del Decreto Legislativo n. 151 del 14 settembre 2015

Il decreto ha introdotto aggiornamenti significativi nell’ambito del monitoraggio a distanza delle attività lavorative, con l’intento di bilanciare le esigenze di controllo del datore di lavoro con la tutela della privacy dei lavoratori.

Il decreto legislativo ha riconosciuto la necessità di aggiornare la legislazione esistente per tener conto delle moderne tecnologie di sorveglianza e monitoraggio. Le nuove norme forniscono un quadro giuridico che permette l’utilizzo di sistemi tecnologicamente avanzati, a condizione che siano rispettate le garanzie procedurali e i diritti dei lavoratori.

Equilibrio tra Controllo Aziendale e Privacy dei Lavoratori

La legge stabilisce che qualsiasi forma di monitoraggio deve essere giustificata da esigenze legittime.

Questo principio è cruciale per assicurare che i datori di lavoro non eccedano nella sorveglianza e che i lavoratori siano adeguatamente tutelati. Le esigenze legittime includono la protezione del patrimonio aziendale, la sicurezza del lavoro e l’efficienza produttiva.

Garanzie per i Lavoratori

Il decreto sottolinea l’importanza delle garanzie procedurali, come la necessità di un accordo sindacale o di un’autorizzazione pubblica prima di implementare qualsiasi strumento di controllo a distanza. Questo meccanismo di tutela assicura che i diritti dei lavoratori siano al centro del processo decisionale.

In sintesi, la legge italiana impone limitazioni chiare e garanzie forti per la protezione dei lavoratori rispetto al possibile utilizzo invasivo delle tecnologie da parte dei datori di lavoro. Queste disposizioni sono fondamentali per bilanciare le esigenze di efficienza e sicurezza dell’azienda con i diritti alla privacy e alla dignità dei lavoratori.

eccezioni

L’articolo 4, comma 2, della Legge n. 300 del 1970 stabilisce che le garanzie procedurali previste per il controllo a distanza delle attività lavorative non si applicano agli strumenti di registrazione degli accessi e delle presenze, nonché agli strumenti utilizzati dai lavoratori per svolgere la loro prestazione lavorativa.

Questa disposizione legislativa è stata interpretata in maniera restrittiva, in quanto introduce un’eccezione al regime più stringente del comma 1.

Eccezioni alla Regolamentazione del Controllo a Distanza

Gli strumenti che rientrano in questa eccezione sono quelli strettamente legati alle funzioni contrattuali del lavoratore, come l’orologio marcatempo o i dispositivi utilizzati per l’effettiva realizzazione del lavoro. Questi strumenti, quindi, possono essere esclusi dai limiti imposti dal primo comma dell’articolo 4, che richiede specifiche garanzie procedurali come accordi sindacali o autorizzazioni pubbliche.

L’articolo 4 dello Statuto dei Lavoratori, come riformato dal Jobs Act (D. Lgs 151/2015), regola l’uso di impianti audiovisivi e altri strumenti di controllo a distanza dell’attività lavorativa, ponendo particolare attenzione alla privacy e alla dignità dei lavoratori. La normativa distingue tra strumenti utilizzati per il controllo a distanza dell’attività lavorativa e strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa.

Gli strumenti di lavoro sono definiti come tutti quei dispositivi utilizzati dal lavoratore per rendere la prestazione lavorativa. Questi includono, ma non si limitano a, computer aziendali e caselle di posta elettronica, che sono considerati beni necessari allo svolgimento della prestazione lavorati.

Responsabilità Penali

È fondamentale sottolineare che vi possono essere responsabilità penali derivanti dalla violazione di questo quadro normativo. L’uso improprio di tali strumenti per finalità di controllo a distanza non autorizzate può portare a sanzioni per il datore di lavoro.

Interpretazione Stretta

La legislazione richiede un’interpretazione stretta di queste eccezioni. L’intenzione del legislatore è quella di limitare l’uso di tali strumenti alle sole funzionalità necessarie per verificare la presenza in servizio e l’esecuzione della prestazione lavorativa, senza trasformarli in mezzi di sorveglianza invasiva.

Nel contesto della protezione dei dati personali, la gestione dei metadati associati alla posta elettronica aziendale riveste un’importanza cruciale. Le linee guida e i provvedimenti emessi dalle autorità di controllo, come il Garante per la Protezione dei Dati Personali in Italia, stabiliscono parametri chiari per la raccolta e la conservazione di tali dati. Queste disposizioni sono essenziali per garantire che le aziende rispettino il principio di responsabilizzazione, limitando il periodo di conservazione dei metadati a un lasso di tempo strettamente necessario per il funzionamento delle infrastrutture di comunicazione.

Raccolta e Conservazione dei Metadati

I metadati, quali data, ora, e informazioni sul mittente e destinatario di un’email, sono fondamentali per il funzionamento dei sistemi di posta elettronica. Tuttavia, la loro conservazione deve essere limitata a un periodo breve – di norma non superiore a poche ore o giorni, e in ogni caso non oltre sette giorni – a meno che non sussistano esigenze documentate che giustifichino un’estensione ulteriore di 48 ore.

Principio di Responsabilizzazione e Valutazioni Tecniche

Le aziende devono condurre valutazioni tecniche per determinare il periodo ottimale di conservazione dei metadati, bilanciando le necessità operative con i diritti alla privacy dei lavoratori. Il principio di responsabilizzazione impone alle aziende di adottare misure proporzionate e necessarie per proteggere i dati personali.

Implicazioni Legali

Il mancato rispetto di queste disposizioni può comportare responsabilità anche penali per i datori di lavoro. Pertanto, è essenziale che le aziende seguano un approccio metodico e ben documentato nella gestione dei metadati, conforme alle indicazioni delle autorità competenti.

La gestione dei dati

Queste disposizioni sono essenziali per garantire che le aziende rispettino il principio di responsabilizzazione, limitando il periodo di conservazione dei metadati a un lasso di tempo strettamente necessario per il funzionamento delle infrastrutture di comunicazione.

L’attuale quadro normativo richiede alle aziende una gestione oculata dei metadati, ponendo l’accento sulla minimizzazione della raccolta e della conservazione dei dati in linea con i principi di necessità e proporzionalità.

Le imprese devono pertanto rimanere aggiornate sui provvedimenti del Garante e assicurarsi di implementare politiche e procedure che rispettino i limiti imposti dalla normativa.

Raccolta Generalizzata dei Metadati e Controllo a Distanza

Una conservazione estesa dei metadati può essere interpretata come un mezzo per monitorare indirettamente le attività dei lavoratori. Questo solleva questioni legali significative poiché, senza le dovute garanzie, potrebbe violare i diritti dei lavoratori alla privacy e alla protezione dei loro dati personali.

la generalizzata raccolta e la conservazione di tali metadati, per un lasso di tempo più esteso – ancorché sul presupposto della sua necessità per finalità di sicurezza informatica e tutela dell’integrità del patrimonio, anche informativo, del datore di lavoro -, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta l. n. 300/1970 (v., da ultimo, provv. 1° dicembre 2022, n. 409, doc. web n. 9833530).

Illiceità del trattamento

In considerazione del richiamato quadro giuridico, l’impiego dei predetti programmi e servizi di gestione della posta elettronica, in assenza dell’espletamento delle procedure di garanzia di cui all’art. 4, comma 1, della l. n. 300/1970, prima di dare avvio alla preventiva e sistematica raccolta dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti, e alla conservazione degli stessi per un ampio arco temporale (superiore a sette giorni estensibili di ulteriori 48 ore , alle condizioni indicate al par. 3), si pone in contrasto con la normativa in materia di protezione dei dati personali e con la richiamata disciplina di settore, in violazione degli artt. 5, par. 1, lett. a), 6 e 88, par. 1, del Regolamento, nonché 114 del Codice (in relazione all’art. 4, comma 1, della l. n. 300/1970).

Nell’ambito della protezione dei dati personali, la questione dell’illiceità del trattamento assume un ruolo centrale. Secondo la normativa vigente, in particolare la Legge n. 300/1970 e il Regolamento Generale sulla Protezione dei Dati (GDPR), il trattamento dei dati personali, che include la raccolta, l’uso e la conservazione, deve essere sempre giustificato, legale e trasparente. L’uso di programmi e servizi di gestione della posta elettronica aziendale deve avvenire nel rispetto delle procedure di garanzia previste dalla legge, come l’articolo 4, comma 1, della Legge n. 300/1970, che richiede il rispetto dei diritti dei lavoratori e la consultazione con i loro rappresentanti in caso di monitoraggio a distanza.

La raccolta sistematica e la conservazione prolungata di metadati relativi all’uso della posta elettronica dei dipendenti possono configurarsi come un controllo a distanza dell’attività lavorativa, che richiede l’applicazione delle garanzie suddette. Se tali attività vengono eseguite senza le dovute precauzioni, si rischia di incorrere nell’illiceità del trattamento. Questo non solo viola i principi fondamentali del GDPR, come liceità, correttezza e limitazione della finalità, ma può anche comportare sanzioni significative ai sensi dell’articolo 114 del Codice Privacy italiano, in relazione all’articolo 4, comma 1, della Legge n. 300/1970.

È quindi imperativo per i datori di lavoro assicurarsi che qualsiasi trattamento dei dati personali sia conforme alle normative in materia di privacy. Ciò include valutare attentamente la necessità di raccolta dei dati, limitare il periodo di conservazione al minimo indispensabile e garantire che i dipendenti siano informati e, ove necessario, acconsentano al trattamento dei loro dati. La trasparenza e la conformità alle leggi di protezione dei dati sono fondamentali per prevenire l’illiceità del trattamento e per mantenere la fiducia dei dipendenti nell’ambiente lavorativo.

Altri profili di illiceità possono poi derivare dall’utilizzo ulteriore dei dati personali, raccolti in assenza delle predette garanzie. Ciò in quanto l’art. 4, comma 3, consente di utilizzare, per le finalità connesse alla gestione del rapporto di lavoro, solo le informazioni già lecitamente raccolte nel rispetto delle condizioni e dei limiti previsti dai commi 1 e 2 e, dunque, nei limiti in cui l’originaria raccolta sia stata lecitamente effettuata (cfr. provv.ti 28 ottobre 2021, n. 384, doc. web n. 9722661, e 13 maggio 2021, n. 190, doc. web n. 9669974).

Nell’ambito della normativa sulla privacy e la protezione dei dati personali, l’illiceità del trattamento dei dati può estendersi oltre la semplice raccolta e conservazione dei dati.

L’utilizzo improprio di dati personali raccolti senza le adeguate garanzie può ulteriormente aggravare la situazione di non conformità.

L’articolo 4, comma 3, stabilisce che le informazioni possono essere utilizzate per le finalità connesse alla gestione del rapporto di lavoro solo se sono state raccolte lecitamente, rispettando le condizioni e i limiti imposti dai commi precedenti. Pertanto, l’utilizzo di dati raccolti in modo illecito non è solo vietato, ma apre anche la porta a ulteriori profili di illiceità.

Ciò significa che qualsiasi trattamento successivo di questi dati, comprese analisi, condivisione o altre forme di elaborazione, deve essere strettamente circoscritto a ciò che è stato originariamente consentito e in base alle modalità che erano legali al momento della raccolta. Le violazioni in questo ambito non sono solo un problema di conformità alle norme sulla privacy, ma possono anche avere implicazioni legali serie, come sanzioni amministrative e potenziali cause legali.

I provvedimenti citati enfatizzano la necessità che i datori di lavoro seguano rigorosamente il quadro legislativo quando trattano i dati dei dipendenti, specialmente in relazione alla sorveglianza sul posto di lavoro. La conformità richiede un’attenta valutazione delle pratiche di trattamento dei dati e l’implementazione di politiche che garantiscano trasparenza e liceità in ogni fase del processo.

Inoltre, dagli elementi ricavabili dai dati esteriori della corrispondenza, come l’oggetto, il mittente e il destinatario e altre informazioni che accompagnano i dati in transito, definendone profili temporali (come la data e l’ora di invio/ricezione), nonché dagli aspetti quali-quantitativi anche in ordine ai destinatari e alla frequenza di contatto (in quanto anche questi dati sono, a propria volta, suscettibili di aggregazione, elaborazione e di controllo), è possibile acquisire informazioni riferite alla sfera personale o alle opinioni dell’interessato.

I dati esteriori della corrispondenza, come l’oggetto, il mittente e il destinatario, insieme ad altri dettagli quali la data e l’ora di invio o ricezione, sono informazioni che, sebbene possano sembrare innocue, possono rivelare molto sulla sfera personale di un individuo o sulle sue opinioni. Questo è particolarmente vero se tali dati vengono aggregati e analizzati per identificare pattern quali-quantitativi, come la frequenza di contatto o la rete di comunicazione di un dipendente.

L’analisi di tali metadati può portare all’acquisizione di informazioni personali non direttamente espresse nel contenuto del messaggio, ma che possono essere dedotte dal contesto.

Ad esempio, la frequenza di comunicazione tra due parti potrebbe indicare una relazione di lavoro stretta o altri tipi di relazioni interpersonali.

Pertanto, anche senza accedere al contenuto dei messaggi, è possibile intuire dettagli privati che i dipendenti potrebbero ragionevolmente aspettarsi rimangano confidenziali.

I datori di lavoro devono assicurarsi che qualsiasi trattamento dei dati sia giustificato, proporzionale e conforme alle disposizioni legali pertinenti, come quelle stabilite dal GDPR e dalla legge nazionale. È fondamentale che le politiche aziendali siano trasparenti e chiare riguardo a quali dati vengono raccolti, come vengono utilizzati e conservati, e quali misure sono in atto per proteggere la privacy dei lavoratori

La generalizzata raccolta e la conservazione dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti, per un periodo di tempo esteso, in assenza di idonei presupposti giuridici, può, dunque comportare la possibilità per il datore di lavoro di acquisire, informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore.

L’ampia raccolta e conservazione di metadati legati all’utilizzo della posta elettronica da parte dei dipendenti, se protratta per un lasso di tempo considerevole e sprovvista di un’adeguata base giuridica, può portare a situazioni in cui i datori di lavoro acquisiscono informazioni che esulano dalla legittima valutazione delle capacità professionali dei lavoratori.

Queste informazioni, benché possano emergere incidentalmente dal monitoraggio delle comunicazioni elettroniche, potrebbero non essere pertinenti o necessarie ai fini del rapporto di lavoro e, pertanto, la loro raccolta potrebbe essere considerata non solo eccessiva ma anche potenzialmente illecita.

Tale pratica può infrangere i principi cardine della normativa sulla privacy, inclusi quelli di proporzionalità, minimizzazione dei dati e limitazione della finalità, che sono tutti pilastri del Regolamento Generale sulla Protezione dei Dati (GDPR) e di altre leggi nazionali pertinenti. Inoltre, ciò potrebbe violare specifiche disposizioni legislative che proteggono i diritti dei lavoratori, come quelle contenute nello Statuto dei Lavoratori e nel Codice Privacy italiano.

Per evitare tali rischi, è cruciale che i datori di lavoro implementino politiche solide di trattamento dei dati che definiscano chiaramente le finalità della raccolta dei dati, limitino la conservazione al periodo strettamente necessario e si basino su presupposti giuridici solidi. In assenza di tali misure, i datori di lavoro si esporrebbero a possibili contestazioni legali e sanzioni amministrative.

I tempi di conservazione dei metadati devono in ogni caso essere proporzionati rispetto alle legittime finalità perseguite. In particolare, finalità connesse alla sicurezza informativa e alla tutela del patrimonio informativa giustificano la conservazione dei metadati per un arco temporale congruo rispetto all’obiettivo di rilevare e mitigare eventuali incidenti di sicurezza, adottando tempestivamente le opportune contromisure. Ove i tempi di conservazione non siano definiti in maniera proporzionata alle finalità del trattamento, il titolare del trattamento può incorrere nella violazione del principio di “limitazione della conservazione” (art. 5, par. 1, lett. e), del Regolamento).

Tuttavia, se i tempi di conservazione superano il necessario per il raggiungimento di tali finalità, si potrebbe violare il principio di limitazione della conservazione sancito dall’articolo 5, paragrafo 1, lettera e) del Regolamento Generale sulla Protezione dei Dati (GDPR). Questo principio impone che i dati personali siano conservati in una forma che ne permetta l’identificazione degli interessati solo per il tempo necessario agli scopi del trattamento dei dati personali.

I titolari del trattamento devono quindi stabilire politiche e procedure che definiscano chiaramente la durata della conservazione dei metadati e assicurarsi che tale durata sia strettamente legata alle finalità di trattamento.

La non conformità a questi requisiti può esporre l’organizzazione a sanzioni e a contestazioni legali, oltre a compromettere la fiducia degli interessati nel rispetto della loro privacy.

Violazione dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita, e di responsabilizzazione

Il datore di lavoro deve, altresì, adottare misure volte ad assicurare il rispetto dei principi della protezione dei dati fin dalla progettazione del trattamento e per impostazione predefinita (art. 25 del Regolamento) durante l’intero ciclo di vita dei dati, “incorporan[d]o nel trattamento le misure e le garanzie adeguate ad assicurare l’efficacia dei principi di protezione dei dati, dei diritti e delle libertà degli interessati” e facendo in modo che “[venga] effettuato per impostazione predefinita solo il trattamento strettamente necessario per conseguire la specifica e lecita finalità”, anche con riguardo al periodo di conservazione dei dati, “in tutte le fasi della progettazione delle attività di trattamento, compresi gli appalti, le gare di appalto, l’esternalizzazione, lo sviluppo, il supporto, la manutenzione, il collaudo, la conservazione, la cancellazione ecc.” (“Linee guida 4/2019 sull’articolo 25 – Protezione dei dati fin dalla progettazione e per impostazione predefinita”, adottate dal Comitato europeo per la protezione dei dati il 20 ottobre 2020).

Il concetto di “privacy by design” e “privacy by default“, come delineato dall’articolo 25 del Regolamento Generale sulla Protezione dei Dati (GDPR), impone ai datori di lavoro di integrare la protezione dei dati personali fin dalla fase di progettazione dei sistemi e dei processi aziendali.

Ciò significa che, durante l’intero ciclo di vita dei dati, dalle fasi iniziali di raccolta fino alla loro eventuale cancellazione, le misure e le garanzie adeguate devono essere incorporate per assicurare l’efficacia dei principi di protezione dei dati e la salvaguardia dei diritti e delle libertà degli interessati.

In pratica, ciò si traduce nell’adottare un approccio che limita il trattamento dei dati al minimo necessario per raggiungere gli scopi specifici e leciti perseguiti dall’organizzazione.

Questo approccio deve essere applicato in modo coerente in tutte le fasi operative, comprese quelle che coinvolgono terze parti come appalti, gare d’appalto, esternalizzazioni, sviluppo, supporto, manutenzione, collaudo, conservazione e cancellazione dei dati.

Le “Linee guida 4/2019 sull’articolo 25” adottate dal Comitato europeo per la protezione dei dati forniscono ulteriori chiarimenti su come implementare questi principi, sottolineando l’importanza di un trattamento dei dati che sia intrinsecamente rispettoso della privacy degli individui in ogni aspetto del trattamento dei dati personali. Questo non solo aiuta a prevenire violazioni dei dati e potenziali sanzioni, ma rafforza anche la fiducia degli interessati nel modo in cui le loro informazioni vengono gestite.

Inoltre, considerando che sul titolare del trattamento, in quanto soggetto sul quale ricadono le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati, grava una “responsabilità generale” sui trattamenti posti in essere (cons. 74 del Regolamento; cfr., tra i tanti, provv. 10 febbraio 2022, n. 43, doc. web n. 9751498 e i precedenti provv. ivi richiamati; v. anche le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021, spec. par. 174), i trattamenti in questione possono comportare anche la violazione del principio di “responsabilizzazione” (artt. 5, par. 1, e 24 del Regolamento), in base al quale il titolare è tenuto a rispettare i principi di protezione dei dati (art. 5, par 1, del Regolamento) e deve essere in grado di comprovarlo (art. 5, par. 2, del Regolamento). Ciò anche con riguardo alle adeguate misure tecniche e organizzative messe in atto al fine di garantire il rispetto della disciplina in materia di protezione dei dati e di quella di settore eventualmente applicabile (art. 24, par. 1, del Regolamento).

Il Regolamento Generale sulla Protezione dei Dati (GDPR) attribuisce al titolare del trattamento un ruolo di primaria importanza e una responsabilità generale per le decisioni relative alle finalità e alle modalità del trattamento dei dati personali.

Come sottolineato nel considerando 74 del GDPR e in vari provvedimenti, tra cui il provvedimento n. 43 del 10 febbraio 2022, il titolare del trattamento deve garantire e dimostrare la conformità con i principi di protezione dei dati in ogni momento del trattamento.

Considerando 74

(74) È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto.

In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure.

Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.

Questo richiede un impegno attivo nel rispettare i principi fondamentali del GDPR, come delineati nell’articolo 5, paragrafo 1, che comprendono la liceità, la correttezza, la trasparenza, la limitazione della finalità, la minimizzazione dei dati, l’accuratezza, la limitazione della conservazione, l’integrità e la riservatezza.

L’articolo 24 del Regolamento pone l’accento sulle misure tecniche e organizzative che il titolare deve adottare per assicurare che il trattamento sia conforme al GDPR.

Articolo 24

Responsabilità del titolare del trattamento

1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.

2. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento.

3. L’adesione ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione di cui all’articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento

La violazione di questi principi può portare alla responsabilizzazione del titolare del trattamento secondo l’articolo 5, paragrafo 2, che impone l’obbligo di dimostrare la conformità con le norme.

Ciò include l’adozione di misure adeguate, sia tecniche che organizzative, per garantire e dimostrare che il trattamento dei dati è effettuato in conformità non solo con il GDPR ma anche con altre normative settoriali applicabili.

Le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, adottate dal Comitato europeo per la protezione dei dati, forniscono ulteriori chiarimenti su queste responsabilità, enfatizzando che i titolari del trattamento devono non solo rispettare i principi di protezione dei dati ma anche essere in grado di dimostrare attivamente tale conformità in tutte le fasi del trattamento dei dati personali.

Come, infatti, recentemente messo in evidenza dal Garante, il titolare del trattamento, anche quando utilizza prodotti o servizi realizzati da terzi, deve verificare, anche avvalendosi del supporto del Responsabile della protezione dei dati, ove designato, la conformità ai principi applicabili al trattamento dei dati (art. 5 del Regolamento) adottando, nel rispetto del principio di responsabilizzazione, le opportune misure tecniche e organizzative e impartendo le necessarie istruzioni al fornitore del servizio (cfr. artt. 5, par. 2, 24, 25 e 32 del Regolamento; cfr., con riguardo a specifici trattamenti in ambito lavorativo, provv.ti 28 ottobre 2021, n. 384, doc. web n. 9722661, e 10 giugno 2021, n. 235, doc. web n. 9685922; ma v. anche provv. 17 dicembre 2020, n. 282, doc. web n. 9525337). In tale prospettiva, il titolare del trattamento deve accertarsi, ad esempio, che siano disattivate le funzioni che non sono compatibili con le finalità del trattamento o che si pongono in contrasto con specifiche norme di settore previste dall’ordinamento, specie in ambito lavorativo, commisurando adeguatamente anche i tempi di conservazione dei dati.

Il Garante per la Protezione dei Dati Personali sottolinea l’importanza del ruolo del titolare del trattamento nel garantire la conformità dei processi di trattamento dei dati personali con i principi stabiliti dal Regolamento Generale sulla Protezione dei Dati (GDPR), anche quando si utilizzano prodotti o servizi forniti da terze parti. Il titolare del trattamento ha il dovere di verificare che ogni aspetto del trattamento rispetti i principi di protezione dei dati, come l’accuratezza, la limitazione della finalità, la minimizzazione dei dati e la sicurezza.

Una parte cruciale di questa responsabilità include l’implementazione di misure tecniche e organizzative appropriate, come richiesto dall’articolo 24 del GDPR, e l’impartizione di istruzioni precise ai fornitori di servizi, in linea con gli articoli 5, paragrafo 2, 25 e 32 del Regolamento.

Questo può comportare l’assicurarsi che le funzionalità incompatibili con le finalità legittime del trattamento siano disattivate e che i tempi di conservazione dei dati siano adeguatamente commisurati alle necessità.

Inoltre, il titolare del trattamento deve coordinarsi con il Responsabile della protezione dei dati (Data Protection Officer – DPO), se designato, per garantire che tutte le operazioni di trattamento siano in linea con il GDPR. Questo impegno deve essere costante e dettagliato, specialmente in ambito lavorativo, dove specifiche norme di settore possono imporre ulteriori limitazioni al trattamento dei dati personali.

Diversi provvedimenti del Garante hanno evidenziato queste esigenze, ribadendo che il titolare del trattamento non può sottrarsi dalle proprie responsabilità delegando semplicemente a terzi e deve attivamente assicurare che le attività di trattamento siano conformi alla normativa sulla protezione dei dati. Questo include anche la valutazione critica delle funzioni offerte dai prodotti o dai servizi utilizzati, disattivando quelle che non sono necessarie o che potrebbero portare a violazioni della privacy.

Le iniziative da porre in essere per assicurare il rispetto della normativa in materia di protezione dei dati e la disciplina di settore in materia di controlli a distanza

Alla luce delle considerazioni che precedono e al fine di prevenire trattamenti di dati personali non conformi al richiamato quadro normativo, con conseguenti responsabilità sul piano sia amministrativo che penale, i datori di lavoro pubblici e privati dovranno adottare le misure necessarie a conformare i propri trattamenti alla disciplina di protezione dati e a quella di settore.

Per assicurare che il trattamento dei dati personali sia in linea con le normative vigenti, i datori di lavoro, sia nel settore pubblico che in quello privato, devono prendere provvedimenti attivi per adeguare le proprie pratiche.

Le misure adottate devono garantire che tutti i trattamenti dei dati personali siano eseguiti legalmente, rispettando i diritti dei soggetti interessati e assicurando la trasparenza delle operazioni. Questo include l’implementazione di politiche adeguate, la formazione del personale e l’aggiornamento continuo delle procedure per tenere conto dell’evoluzione del quadro normativo e delle migliori pratiche.

La mancata conformità a tali regolamenti non solo può portare a sanzioni amministrative ma anche a responsabilità penali, pertanto è fondamentale che i datori di lavoro comprendano appieno le loro responsabilità e agiscano di conseguenza per mitigare i rischi associati al trattamento dei dati personali.

In particolare, si rende necessario verificare con la dovuta diligenza che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service – consentano al cliente (datore di lavoro) di modificare le impostazioni di base, impedendo la raccolta dei predetti metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di sette giorni, estensibile di ulteriori 48 ore, alle condizioni indicate al par. 3.

È essenziale che i datori di lavoro esercitino la dovuta diligenza nella selezione e nell’utilizzo dei programmi e dei servizi informatici per la gestione della posta elettronica dei dipendenti. Questo è particolarmente importante quando si utilizzano soluzioni di mercato basate su cloud o modelli as-a-service, dove il cliente (il datore di lavoro) deve avere la capacità di configurare le impostazioni di default per salvaguardare la privacy dei dipendenti.

I datori di lavoro devono assicurarsi che le impostazioni del software consentano di evitare la raccolta non necessaria di metadati o, se questa è inevitabile, di limitare il periodo di conservazione di tali dati. Un limite massimo di sette giorni, con la possibilità di estendere tale periodo per ulteriori 48 ore in circostanze specifiche delineate al paragrafo 3, è un esempio di come potrebbe essere gestita questa limitazione.

Questo approccio non solo aiuta a conformarsi alle normative sulla protezione dei dati personali, ma dimostra anche un impegno proattivo nel proteggere le informazioni dei dipendenti. La non conformità può portare a serie implicazioni legali, quindi è fondamentale che i datori di lavoro siano consapevoli delle loro responsabilità e agiscano per implementare le appropriate misure tecniche e organizzative.

In tale prospettiva, si invitano i produttori dei servizi e delle applicazioni, in fase di sviluppo e progettazione degli stessi, a tenere conto del diritto alla protezione dei dati tenuto conto dello stato dell’arte (v. cons. 78 del Regolamento).

Diversamente, i datori di lavoro pubblici o privati, in qualità di titolari del trattamento, dovranno alternativamente, nel caso in cui i trattamenti di dati personali in questione si dovessero comunque rendere necessari per il perseguimento di esigenze organizzative o produttive, espletare le richiamate procedure di garanzia previste dalla disciplina di settore (art. 4 della l. 300/1970) o cessare l’utilizzo di tali programmi e servizi informatici. Resta inteso che, nelle more dell’eventuale espletamento delle procedure di garanzia, i predetti metadati non possono comunque essere utilizzati (cfr. art. 2-decies del Codice).

Il messaggio chiave è un invito ai produttori di servizi e applicazioni informatiche a integrare la protezione dei dati personali fin dalla fase di sviluppo e progettazione dei loro prodotti, in linea con il concetto di “privacy by design”. Questo principio è enfatizzato nel considerando 78 del Regolamento Generale sulla Protezione dei Dati (GDPR), che sottolinea l’importanza di considerare la privacy e la protezione dei dati alla luce dello stato dell’arte tecnologico.

Fino a quando non vengono espletate le procedure di garanzia richieste, i metadati raccolti non possono essere utilizzati, come stabilito dall’articolo 2-decies del Codice Privacy. Questo sottolinea l’importanza del rispetto dei diritti degli interessati e della conformità alle normative vigenti, anche durante i periodi transitori in cui le misure di conformità sono ancora in corso di implementazione.

1. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati, salvo quanto previsto dall’articolo 160 bis.

e ancora

In ogni caso, deve essere assicurata la necessaria trasparenza nei confronti dei lavoratori, fornendo agli stessi una specifica informativa sul trattamento dei dati personali prima di dare inizio al trattamento (cfr. art. 5, par. 1, lett. a), 12 e 13 del Regolamento). Ciò anche tenuto conto del fatto che l’adempimento degli obblighi informativi nei confronti dei dipendenti (consistenti nella “adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli”) costituisce anche una specifica precondizione per il lecito utilizzo dei dati raccolti attraverso strumenti tecnologici, da parte del datore di lavoro, anche a tutti i fini connessi al rapporto di lavoro (art. 4, co. 3, della l. n. 300/1970).

l’importanza della trasparenza e dell’informazione nei confronti dei lavoratori riguardo al trattamento dei loro dati personali. Secondo il Regolamento Generale sulla Protezione dei Dati (GDPR), è fondamentale che i datori di lavoro forniscano agli impiegati informazioni specifiche prima di iniziare qualsiasi trattamento di dati personali.

L’adempimento degli obblighi informativi verso i dipendenti è una condizione necessaria per il legittimo utilizzo dei dati raccolti attraverso strumenti tecnologici da parte del datore di lavoro, anche per fini legati al rapporto di lavoro.

Questo implica che i datori di lavoro devono non solo informare i dipendenti sulle modalità d’uso degli strumenti tecnologici e sui controlli effettuati, ma anche assicurarsi che tali informazioni siano adeguatamente comunicate e comprensibili. La mancata informazione o una comunicazione inadeguata può rendere il trattamento dei dati personali illecito e esporre il datore di lavoro a sanzioni amministrative e, potenzialmente, a conseguenze legali più ampie.

In ogni caso, con riferimento all’utilizzo di servizi basati sul cloud, si richiama quanto indicato nel report “2022 Coordinated Enforcement Action Use of cloud-based services by the public sector” del Comitato europeo per la protezione dei dati (adottato il 17 gennaio 2023, reperibile alla pagina web https://edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-use-cloud-based-services-public_en), che reca indicazioni sulle misure tecniche e organizzative necessarie ad assicurare il rispetto del Regolamento in tale contesto, garantendo, in particolare, che i fornitori dei servizi cloud trattino i dati personali solo per conto dei rispettivi titolari e sulla base delle istruzioni da questi ricevute.

edpb_20230118_cef_cloud-basedservices_publicsector_en Download

Il passaggio evidenzia l’importanza di adottare misure tecniche e organizzative appropriate quando si utilizzano servizi cloud, specialmente nel settore pubblico.

Il Comitato europeo per la protezione dei dati (EDPB) ha avviato la sua prima azione di applicazione coordinata (CEF) incentrata sull’uso dei servizi basati su cloud da parte del settore pubblico.

Questa azione, adottata il 17 gennaio 2023, fa parte della più ampia strategia dell’EDPB per migliorare la conformità al GDPR e la cooperazione tra le autorità di vigilanza (SA) nello Spazio economico europeo (SEE).

La decisione di concentrarsi sui servizi cloud nel settore pubblico è stata guidata dalla necessità fondamentale di garantire il diritto fondamentale alla protezione dei dati personali, soprattutto considerati i grandi volumi di dati personali e talvolta sensibili trattati dalle autorità pubbliche, e i rapidi progressi tecnologici nel cloud informatici che introducono nuovi rischi.

Nel corso del 2022, 22 autorità competenti in tutto il SEE hanno condotto indagini coordinate sul modo in cui gli enti del settore pubblico utilizzano i servizi basati su cloud.

Questo sforzo mirava a identificare e affrontare le sfide legate alla conformità al GDPR durante l’acquisizione e l’utilizzo di servizi cloud. Queste sfide includono la garanzia di adeguate garanzie di protezione dei dati, la gestione dei trasferimenti internazionali di dati alla luce della sentenza Schrems II e la gestione del rapporto titolare-responsabile del trattamento ai sensi del GDPR. Le indagini hanno preso di mira circa 100 enti pubblici in vari settori, tra cui sanità, finanza, fiscalità, istruzione e servizi IT, per valutarne la conformità e identificare le migliori pratiche.

L’azione dell’EDPB sottolinea l’importanza dei servizi cloud conformi al GDPR per il settore pubblico, riflettendo una tendenza più ampia di crescente adozione del cloud in tutta l’UE, che è raddoppiata per le imprese tra il 2016 e il 2021. La pandemia di COVID-19 ha ulteriormente accelerato questa trasformazione digitale, evidenziando la necessità che gli enti pubblici garantiscano prodotti e servizi IT che rispettino le norme dell’UE sulla protezione dei dati

L’approccio coordinato dell’EDPB attraverso il CEF e la creazione di un pool di esperti di supporto (SPE) mira a promuovere un panorama di applicazione più snello ed efficiente, promuovendo la conformità al GDPR e salvaguardando i dati personali nell’ambito dell’uso dei servizi cloud da parte del settore pubblico.

Questa iniziativa fa parte della strategia 2021-2023 dell’EDPB, che si concentra sul rafforzamento della cooperazione tra le autorità competenti e sulla garanzia di un’applicazione coerente delle leggi sulla protezione dei dati in tutto il SEE1 3.In conclusione, la prima azione di applicazione coordinata dell’EDPB sull’uso dei servizi basati su cloud da parte del settore pubblico rappresenta un passo significativo verso la garanzia che le pubbliche amministrazioni in tutta l’UE gestiscano i dati personali con la massima cura, in particolare quando elaborati tramite servizi cloud.

Questa iniziativa non mira solo a migliorare la conformità al GDPR, ma anche a creare fiducia tra i cittadini e i dipendenti del servizio pubblico nella trasformazione digitale dei servizi pubblici

L’intervento del ministro Calderone

In risposta a questo inasprimento normativo, il ministro del Lavoro Marina Calderone ha segnalato, durante il Welfar & Hr Summit organizzato da Il Sole 24 Ore, che il suo dicastero e l’Ispettorato nazionale del lavoro stanno elaborando una soluzione che semplifichi l’adempimento di queste nuove esigenze.

Questo sforzo congiunto punta a creare un equilibrio tra la necessità di proteggere i dati personali dei lavoratori e quella di garantire la fluidità e l’efficienza delle comunicazioni aziendali, dimostrando come la privacy sia un tema dinamico e in continua evoluzione, che richiede un dialogo costante tra le autorità di regolamentazione, il mondo del lavoro e le esigenze operative delle imprese.

La ricerca di un punto d’incontro tra privacy e gestione aziendale si scontra con la complessità burocratica e la necessità di un dialogo tra le varie entità regolatrici.

Il processo per definire una prassi operativa semplificata è ancora in una fase embrionale, con il ministero del Lavoro che segnala la pratica in fase istruttoria.

Questa situazione suggerisce che il percorso verso una soluzione condivisa e funzionale non sarà breve.

La mancanza di un dialogo preventivo tra l’Ispettorato nazionale del lavoro e il Garante per la privacy potrebbe implicare un iter più complesso, con la necessità di delineare i margini di azione nel rispetto delle normative sulla privacy.

Questo scenario potrebbe portare gli ispettorati territoriali a dover gestire un’ondata di richieste di autorizzazione per la conservazione dei dati riguardanti le email aziendali, evidenziando un’ulteriore sfida nel bilanciamento tra le esigenze di privacy dei lavoratori e le necessità operative dei datori di lavoro.

La posizione del Garante per la privacy, che mette in guardia contro i rischi di un’archiviazione eccessiva dei metadati, solleva dibattiti nel panorama produttivo attuale.

Questa preoccupazione si scontra con la realtà di un tracciamento delle attività lavorative e personali che, spesso, si estende ben oltre ciò che i metadati consentono. Nonostante ciò, l’approccio che potrebbe derivare da tale cautela è quello di un Ispettorato del lavoro che adotta una linea molto rigida.

Di conseguenza, si profila il rischio che le autorizzazioni concesse siano limitate in termini di validità temporale, un’eventualità che potrebbe comportare restrizioni significative per le aziende nella gestione dei dati.

Tale scenario suggerisce la necessità di un equilibrio tra la protezione della privacy dei lavoratori e le esigenze operative delle imprese in un contesto in rapida evoluzione.

In un’era caratterizzata da una rivoluzione digitale in continuo avanzamento, l’interpretazione e l’applicazione delle normative sulla privacy potrebbero condurre a scenari paradossali.

Se l’indirizzo prevalente dovesse inclinare verso un’estrema cautela, le aziende potrebbero trovarsi nella situazione ironica di dover ricorrere a metodi arcaici, come la stampa di milioni di email, per preservare la loro “memoria” aziendale.

In un’era caratterizzata da una rivoluzione digitale in continuo avanzamento, l’interpretazione e l’applicazione delle normative sulla privacy potrebbero condurre a scenari paradossali. Se l’indirizzo prevalente dovesse inclinare verso un’estrema cautela, le aziende potrebbero trovarsi nella situazione ironica di dover ricorrere a metodi arcaici, come la stampa di milioni di email, per preservare la loro “memoria” aziendale. Questa prospettiva evidenzia la necessità di un’applicazione delle norme che bilanci in modo adeguato le esigenze di protezione dei dati personali con quelle operative delle imprese. La privacy non dovrebbe trasformarsi in un fine in sé, ma servire come mezzo per garantire la sicurezza e l’integrità dei dati in un contesto produttivo che cambia rapidamente, evitando così di ostacolare l’efficienza e l’innovazione aziendale.

La revisione legislativa attuata con il Jobs act mirava a un’ottimizzazione delle procedure aziendali, eliminando la necessità di passare attraverso un accordo sindacale o una preventiva autorizzazione dell’Ispettorato per l’installazione e l’utilizzo di strumenti tecnologici.

La distinzione che avrebbe dovuto regnare era chiara: dispositivi come i computer sono essenziali per il lavoro, mentre le telecamere non lo sono.

Ciò nonostante, si è osservato un restringimento della definizione di strumento di lavoro a causa delle interpretazioni giurisprudenziali e amministrative, che hanno avuto come conseguenza la continuità nell’applicazione dei limiti preesistenti.

Questo processo sembra essere mosso dalla convinzione non comprovata che un’autorizzazione preventiva fornisca una tutela superiore, ragion per cui viene spesso descritta come “procedura di garanzia”.

Questo atteggiamento ha portato a una certa frustrazione riguardo agli obiettivi della riforma, evidenziando la difficoltà nel bilanciare l’innovazione tecnologica con la protezione dei diritti dei lavoratori.

Riassumendo

Le norme sul trattamento dei dati personali, nel rapporto di lavoro, sono integrate -sotto il profilo della valutazione di liceità (5 e 6, tramite 88 e 113) dalle previsioni Statutarie degli artt. 4 e 8;

- esiste un divieto generalizzato di monitoraggio del lavoratore (comma 1 del testo originario del 4, divenuto principio generale dopo la riforma del 2015) [5] , temperato da eccezioni (comma 1 e 2 dell’art. 4);

- esiste poi un divieto assoluto di “effettuare indagini, anche a mezzo di terzi” su qualunque informazione (opinioni e fatti) non rilevante ai fini della valutazione dell’attitudine professionale del lavoratore” (art. 8 Statuto e art. 10 del d.lgs. 10 settembre 2003, n. 276, richiamati espressamente dall’art. 113 del Codice);

- in caso di raccolta e memorizzazione dei metadati relativi all’impiego della posta elettronica, stante la particolare “vulnerabilità” degli interessati nel contesto lavorativo, sussiste il rischio di “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti” (Gruppo di lavoro art. 29, “Linee guida concernenti la valutazione di impatto sulla protezione dei dati” cfr. WP 248/17);

- la generalizzata raccolta e la conservazione di tali metadati, per un “lasso di tempo più esteso” (anche se per finalità di tutela del patrimonio) determina la possibilità di un controllo preterintenzionale e quindi necessità delle procedure dell’art. 4;

- Inoltre, dagli elementi ricavabili dai “dati esteriori” della corrispondenza (oggetto, mittente, destinatario, data e ora di invio/ricezione), nonché dagli aspetti quali-quantitativi (destinatari e frequenza di contatto “in quanto anche questi dati sono, a propria volta, suscettibili di aggregazione, elaborazione e di controllo”), è possibile acquisire informazioni riferite alla sfera personale coperta dall’art. 8 (i c.d. non-dati) [6];

- La generalizzata raccolta e la conservazione dei metadati relativi all’utilizzo della posta elettronica da parte del datore/titolare dunque rientra nei casi in cui sono necessarie le valutazioni degli artt. 8 e 4, co.1 (con tutti i corollari del considerando 71, artt. 13, 14 e 88, ecc.), implica quindi che il datore di lavoro titolare del trattamento realizzi per via contrattuale (come sopra ricordato) e in attuazione del principio di responsabilizzazione, di non acquisire o che “siano disattivate le funzioni che non sono compatibili con le finalità del trattamento o che si pongono in contrasto con specifiche norme di settore previste dall’ordinamento, specie in ambito lavorativo, commisurando adeguatamente anche i tempi di conservazione dei dati”.

Considerazione finali

Questa posizione potrebbe comportare significative implicazioni operative per le aziende e solleva questioni riguardo alla fattibilità e alla proporzione di tale restrizione nel contesto lavorativo odierno.

Implicazioni Operative e Sfide della Conservazione dei Dati nelle Aziende

Importanza della Conservazione delle Email nell’Era Digitale
Le email hanno assunto un ruolo centrale nel tessuto delle attività aziendali contemporanee, trasformandosi da semplici strumenti di comunicazione a veri e propri documenti dotati di valore giuridico e operativo. Questa evoluzione ha reso le email archivi viventi di scambi comunicativi, decisioni aziendali e transazioni commerciali, spesso contenenti dati sensibili e informazioni confidenziali. Di conseguenza, la gestione e la conservazione delle email pongono sfide significative, poiché le politiche attuali devono essere valutate e aggiornate per riflettere le mutevoli esigenze del panorama lavorativo digitale.

Le organizzazioni devono quindi interrogarsi sulla sicurezza, l’accessibilità e la compliance delle loro pratiche di conservazione per garantire sia la protezione dei dati sia la disponibilità di prove documentali in caso di controversie legali. Inoltre, con l’incremento del telelavoro e della collaborazione a distanza, la necessità di politiche di conservazione robuste e aderenti alle normative vigenti diventa sempre più pressante per sostenere l’integrità e l’efficienza aziendale.

Equilibrio tra Conformità Legale e Necessità Aziendali

Il Regolamento Generale sulla Protezione dei Dati (GDPR) e altre leggi correlate stabiliscono criteri rigorosi per la gestione dei dati personali, compresi quelli contenuti nelle email.
Le aziende si trovano di fronte alla sfida di adeguare le proprie politiche di conservazione dei dati per conformarsi a tali normative, pur mantenendo la capacità di archiviare le comunicazioni aziendali che sono essenziali per motivi legali e per il mantenimento delle operazioni quotidiane.

Questo complesso bilanciamento richiede una strategia che rispetti la privacy e la sicurezza dei dati personali, mentre allo stesso tempo assicuri che le informazioni critiche per l’azienda siano disponibili e accessibili quando necessario.

La chiave sta nel creare un sistema di conservazione dei dati che sia sia conforme alle leggi vigenti sia efficiente dal punto di vista operativo, garantendo così che le comunicazioni aziendali possano essere preservate senza violare i diritti dei singoli individui.

Proattività nel Rivedere le Politiche di Conservazione

Per rimanere in linea con un ambiente normativo e commerciale in costante evoluzione, i datori di lavoro hanno la responsabilità critica di rivedere e aggiornare regolarmente le loro politiche di conservazione delle email.

Questa pratica non solo assicura la conformità alle leggi sulla protezione dei dati, evitando possibili penalità, ma rafforza anche la fiducia degli stakeholder dimostrando un impegno proattivo verso la sicurezza e la privacy dei dati.

Un’efficace politica di conservazione deve equilibrare le necessità operative quotidiane dell’azienda con gli obblighi legali, garantendo al contempo che informazioni essenziali siano preservate per soddisfare richieste future, sia interne che esterne. Questo processo di aggiornamento continuo è fondamentale per mantenere la trasparenza e l’integrità aziendale nell’era digitale.

La Tracciabilità delle Comunicazioni come Fattore Chiave

Nell’attuale panorama aziendale, dominato da un’intensa digitalizzazione, una gestione efficace delle email è imprescindibile per garantire una mappatura accurata del flusso informativo. I metadati delle email, che tracciano dettagli quali il mittente, il destinatario, la data e l’ora di invio e ricezione, sono diventati un pilastro per l’efficienza operativa e per l’affidabilità organizzativa. Questi dati non solo facilitano la ricerca e il recupero delle comunicazioni ma sono anche essenziali per la verifica di conformità, per le indagini interne e per le questioni legali.

Di conseguenza, la loro conservazione sistematica è fondamentale per fornire trasparenza e per sostenere la reattività e l’accountability delle aziende nell’era dell’informazione.

Obsolescenza dei Metodi Tradizionali di Archiviazione

Affrontare la cancellazione dei metadati si rivela essere un nodo cruciale nella gestione dei dati elettronici, una prova impegnativa per entità di qualsiasi grandezza.

Tale operazione non è meramente tecnica ma si intreccia con aspetti legali e procedurali, richiedendo un’analisi dettagliata e un’attuazione strategica. Le organizzazioni devono valutare attentamente le implicazioni di un cambio di fornitore di servizi di posta elettronica, un processo che non è né lineare né privo di ostacoli.

Gli strumenti software di analytics rappresentano una componente fondamentale nell’ecosistema tecnologico moderno, specialmente nel contesto lavorativo dove il monitoraggio delle prestazioni diventa sempre più sofisticato.

Questi strumenti, infatti, permettono di analizzare l’interazione degli utenti con i vari dispositivi e applicazioni, fornendo dati dettagliati sull’uso quotidiano, come la frequenza di ricezione delle email, il tempo impiegato per rispondere e la durata delle riunioni.

Questi dati, spesso descritti come ‘briciole’, sono il nutrimento prediletto delle più recenti intelligenze artificiali generative che, elaborandoli, sono capaci di generare suggerimenti avanzati e personalizzati. L’impiego di tali strumenti non solo ottimizza le operazioni ma apre anche nuovi orizzonti nell’automazione e nell’assistenza decisionale, dimostrando come la raccolta e l’analisi dei dati non strutturati possano trasformarsi in intuizioni preziose per il miglioramento delle dinamiche lavorative.

Maggiore è l’entità, più complessa si prefigura la transizione, con tempi dilatati e necessità di una pianificazione che consideri ogni variabile.

Questa transizione può diventare un percorso obbligato qualora il fornitore attuale non rispetti le richieste di cancellazione dei dati, esponendo l’organizzazione a rischi legali e operativi.

La sfida è quindi duplice: assicurare la conformità alle normative sulla privacy e garantire una migrazione fluida e sicura verso soluzioni alternative che siano in grado di rispettare i termini imposti dalla legge.

In un’epoca segnata dall’avanzamento tecnologico e dalla crescente consapevolezza ecologica, persistere nell’utilizzo di metodi antiquati come la stampa e l’archiviazione fisica della corrispondenza appare sempre più dissonante.

Tale pratica non solo si scontra con la rapidità e l’efficienza della comunicazione digitale, ma si pone anche in netto contrasto con l’impegno globale verso la riduzione dell’impronta ecologica.

Questa incongruenza mette in luce l’urgente esigenza di aggiornare le normative sulla privacy, affinché riflettano e supportino le modalità di lavoro più moderne ed eco-sostenibili, garantendo al contempo la sicurezza e la riservatezza delle informazioni in un mondo sempre più interconnesso.

Doppia Sfida: Conformità e Aggiornamento Legislativo

Le imprese si trovano di fronte all’importante compito di garantire che le proprie politiche di conservazione delle email rispettino le stringenti normative sulla protezione dei dati, come il GDPR. Tuttavia, va oltre la semplice conformità: è cruciale per le aziende essere propulsive nel dialogo legislativo, sostenendo la necessità di riforme che tengano conto delle specificità e delle sfide del lavoro nell’era digitale. Tale azione progressista non solo faciliterebbe le operazioni aziendali quotidiane ma anche promuoverebbe un ambiente digitale più sicuro e flessibile, adeguato alle mutevoli dinamiche del lavoro moderno.

Questa situazione può portare a un conflitto con gli obblighi normativi, come la necessità di cancellare i dati entro termini specifici, che potrebbe non essere rispettato a causa delle difficoltà tecniche e amministrative intrinseche nel processo di migrazione. Di conseguenza, le organizzazioni si trovano a dover navigare un percorso intricato che va dalla constatazione dell’impossibilità di cancellazione fino alla completa transizione verso un nuovo fornitore, rischiando di incorrere in sanzioni per il mancato adempimento degli obblighi di protezione dei dati.

Navigare tra Conformità e Praticità

Il nostro ruolo di esperti di privacy diventa sempre più cruciale. Siamo chiamati a navigare le complessità della protezione dei dati, bilanciando la tutela dei diritti degli individui con le esigenze di efficienza operativa delle aziende. La nostra competenza è fondamentale per interpretare le normative in continuo cambiamento, consigliando le organizzazioni su come implementare processi che rispettino la privacy senza compromettere la fluidità e la produttività del lavoro aziendale. In questo modo, contribueremo a creare un ambiente di lavoro che valorizza sia la sicurezza dei dati personali sia l’agilità operativa necessaria per il successo nel mercato digitale.

Riforma del 2015 e il Vuoto Normativo

La riforma legislativa, pur avendo inteso facilitare l’utilizzo degli strumenti tecnologici nel contesto lavorativo, ha paradossalmente generato una serie di incertezze legali.

Le aziende si trovano ora a dover navigare in un mare di regolamentazioni che possono apparire incoerenti e a volte in conflitto tra loro, aggravate ulteriormente da interpretazioni del Garante per la protezione dei dati personali che possono risultare restrittive.

Questa situazione richiede un’attenta analisi e una potenziale azione correttiva per assicurare che le operazioni aziendali rimangano conformi alla legge, senza essere ostacolate da ambiguità normative.

Le imprese devono quindi essere proattive e possibilmente partecipare al dibattito legislativo per promuovere un quadro normativo più chiaro e favorevole all’innovazione tecnologica.

oggi la nozione di “strumento” è fluida e dipendente dal software applicativo che ne determina le funzioni. In altre parole, la natura e il valore dei dati cambiano in base al contesto e al codice utilizzato per tradurli in informazioni.

Di conseguenza, la distinzione normativa tra “strumento di lavoro” e “strumento di controllo” si fa più sfumata e complessa, poiché lo stesso dispositivo (come un computer o un servizio di posta elettronica) può assumere una funzione o l’altra a seconda del software applicativo in uso e del contesto operativo. Tale ambiguità sottolinea la necessità di un’interpretazione normativa più attenta e aggiornata che tenga conto della multifunzionalità degli strumenti digitali e delle diverse valenze dei dati che ne derivano.

Definire un Periodo di Conservazione Dati Equilibrato

Le aziende si trovano di fronte alla complessa sfida di definire un periodo di conservazione dei dati che sia sostenibile sotto il profilo operativo e finanziario, e che nel contempo sia sufficiente a garantire una protezione efficace dei dati personali in conformità con le normative vigenti. Questo equilibrio richiede una valutazione approfondita delle esigenze specifiche dell’azienda e delle aspettative normative, per stabilire un termine di conservazione che sia proporzionato e giustificato dalla natura dei dati trattati, dagli scopi della loro raccolta e utilizzo, e dai requisiti legali applicabili. La soluzione ottimale dovrebbe minimizzare gli oneri per le aziende mantenendo al contempo un alto livello di tutela della privacy degli individui.

Oltre l’Accordo Sindacale: Necessità di un Approccio completo

L’evoluzione verso un ambiente lavorativo sempre più digitalizzato richiede una risposta legislativa che consideri in maniera globale le necessità delle imprese moderne.

L’evoluzione verso un ambiente lavorativo sempre più digitalizzato richiede una risposta legislativa che consideri in maniera globale le necessità delle imprese moderne. Un approccio compelto a 360 gradi alla legislazione sui dati è fondamentale per affrontare efficacemente le sfide poste dalla digitalizzazione, andando oltre le soluzioni tradizionali come gli accordi sindacali o le autorizzazioni amministrative, che possono risultare limitati o inadeguati. È necessario sviluppare un quadro normativo che sia flessibile e adattabile alle nuove tecnologie e ai cambiamenti rapidi del mercato, garantendo allo stesso tempo la protezione dei dati personali e la competitività aziendale.

Verso un Futuro Competitivo e Responsabile

Navigare attraverso la complessità della legislazione sulla privacy è un percorso intricato ma vitale per assicurare che l’Italia rimanga al passo con la concorrenza globale.

È essenziale trovare un equilibrio che permetta al paese di prosperare economicamente, sfruttando al meglio le opportunità offerte dalla digitalizzazione, senza però trascurare i diritti fondamentali dei cittadini.

Questo equilibrio richiede politiche che siano flessibili e adattabili ai rapidi cambiamenti tecnologici e del mercato, garantendo contemporaneamente la protezione dei dati personali in un mondo sempre più interconnesso e dipendente dalle tecnologie digitali.

Questa situazione pone in evidenza la necessità di un dialogo tra legislatori, aziende e fornitori di servizi tecnologici per garantire che le normative siano realistiche e attuabili. È essenziale che le politiche siano basate su una comprensione approfondita delle capacità tecniche e delle implicazioni pratiche. Inoltre, è vitale che i fornitori di servizi siano coinvolti nel processo normativo per garantire che possano adeguarsi efficacemente alle richieste normative senza compromettere la sicurezza o l’operatività delle organizzazioni che li utilizzano.

Riflessioni finali

Ciò detto, sgombriamo il campo e diciamo subito che le perplessità interpretative non riguardano la parte relativa ai dati che rientrano nelle tematiche di art. 8.

Viene infatti enfatizzata l’importanza di politiche aziendali che proteggano il domicilio informatico, evitando l’uso non regolamentato della posta elettronica e resistendo all’adozione di pratiche BYOD (Bring Your Own Device), considerate rischiose. Le aziende sono invitate a rivedere le proprie policy per assicurare che la gestione dei dati sia sicura e conforme alle normative, riconoscendo che la sicurezza informatica è fondamentale per la tutela legale e operativa dell’azienda.

DON’T PANIC

In materia di diritto del lavoro, l’applicazione dell’articolo 4 richiede un’attenta considerazione dell’uso effettivo degli strumenti tecnologici. Secondo il prof. Gino Giugni, non è l’idoneità teorica, ma quella pratica dell’apparecchiatura a definire la sua potenzialità di controllo a distanza.

La normativa si focalizza sulla possibilità concreta che un impianto possa essere utilizzato per il monitoraggio, non sulla sua mera capacità intrinseca. Inoltre, l’interpretazione deve tener conto del contesto specifico in cui la tecnologia viene impiegata, seguendo la logica di McLuhan che “il medium è il messaggio”, ovvero è l’uso che determina la funzione.

Pertanto, la semplice registrazione di dati non basta a qualificare uno strumento come dispositivo di controllo; ci deve essere un’applicazione che attribuisca significato ai dati raccolti e li trasformi in un monitoraggio effettivo del lavoro.

Questa interpretazione si distacca da quelle giurisprudenziali che vedono nella mera registrazione dei dati una potenzialità di controllo, richiedendo invece un’applicazione significativa che renda lo strumento uno specifico mezzo di sorveglianza lavorativa.

La legge chiarisce che non è importante se un impianto è etichettato come ‘di controllo’ per definizione. Ciò che conta è se, in pratica, l’impianto ha la capacità effettiva di esercitare il controllo. Se il legislatore avesse inteso includere ogni apparecchiatura teoricamente capace di controllo nella regolamentazione, non avrebbe specificato ulteriormente la necessità di una possibilità reale di controllo a distanza.

Adottare un criterio diverso porterebbe a una conclusione insostenibile: ogni apparecchiatura potenzialmente utilizzabile come strumento di controllo richiederebbe un accordo sindacale per il suo utilizzo.

Ciò è assolutamente doveroso specialmente nel caso degli elaboratori elettronici, che queste macchine sono progettate per svolgere varie funzioni, alcune delle quali possono includere il controllo a distanza. Pertanto, non è sufficiente che un dispositivo possa teoricamente essere usato per il controllo; ciò che conta è l’uso effettivo che ne viene fatto.

Se accettiamo che le leggi sul lavoro includano principi per valutare se il trattamento dei dati è lecito, dobbiamo distinguere tra il “dato”, che è una semplice registrazione di fatti senza interpretazione, e l'”informazione”, che dà un significato a quei dati. Ad esempio, un “dato” può essere un numero di accesso registrato da un sistema informatico, mentre l'”informazione” è ciò che quel numero rappresenta, come l’orario di ingresso di un dipendente in ufficio.

Il documento in questione suggerisce che le regole dell’articolo 4, che riguardano il controllo dei lavoratori, dovrebbero essere applicate solo perché i dati vengono conservati o per il fatto che la loro conservazione si protrae nel tempo.

Questo è simile a dire che ogni volta che un’azienda registra qualcosa, come gli orari di accesso al computer dei dipendenti, dovrebbe seguire procedure speciali per assicurarsi che non stia controllando i suoi lavoratori in modo inappropriato.

Tuttavia, questa interpretazione è considerata troppo stretta. Non si dovrebbe assumere automaticamente che la registrazione dei dati sia una forma di controllo.

In altre parole, il semplice fatto di conservare i dati non significa che l’azienda stia “controllando” i suoi dipendenti.

La “potenzialità del controllo” si riferisce alla capacità di un dispositivo di sorvegliare le attività delle persone. Questa capacità può essere solo teorica (astratta) o reale e attuale (concreta). Tuttavia, per parlare di una vera capacità di controllo, è necessario che il dispositivo sia usato con un software specifico che gli permetta di interpretare i dati raccolti in modo significativo.

La capacità di un dispositivo di monitorare le attività può essere solo teorica o effettivamente possibile. Tuttavia, per considerare un dispositivo come uno strumento di sorveglianza vero e proprio, deve essere usato in combinazione con un programma che gli permette di dare un senso ai dati raccolti. Questo programma analizza i dati secondo regole specifiche che danno loro un significato preciso, trasformando così il dispositivo da semplice registratore a uno strumento che può effettivamente monitorare, ad esempio, il lavoro svolto.

Secondo questa interpretazione, il semplice atto di registrare e conservare dati non è sufficiente per giustificare l’attuazione delle procedure previste dall’articolo 4, comma 1, dello Statuto dei Lavoratori, come modificato dopo il 2015.

È necessario, oltre alla registrazione, l’uso di un software di analisi che elabori questi dati e li trasformi in un riassunto che possa essere usato per il controllo. In altre parole, è essenziale che il sistema sia in grado di attivare l’analisi dei dati per poterli interpretare in modo significativo.

Interpretato in questo modo, il documento dell’autorità garante diventa molto importante per tutti i datori di lavoro che utilizzano piattaforme di lavoro digitali (come pacchetti software integrati) che offrono la possibilità di analizzare i dati.

Queste piattaforme possono, con una semplice attivazione, permettere l’uso di analytics o sistemi avanzati che, elaborando e combinando i metadati, consentono un controllo effettivo delle attività lavorative.

I datori di lavoro devono assicurarsi, con il supporto dei Responsabili del trattamento, che l’uso di pacchetti software in cloud sia in linea con le leggi vigenti, come indicato dall’autorità garante. I fornitori di queste soluzioni, idealmente, dovrebbero offrire opzioni che non solo permettano ai clienti di scegliere di non attivare certe funzionalità, ma che escludano dalla loro offerta standard quei software che potrebbero rendere necessarie le valutazioni di conformità richieste dal Documento.

Concludiamo con un perfetto post del prof. @andrealisi

𝔻𝕠𝕔𝕦𝕞𝕖𝕟𝕥𝕠 𝕕𝕚 𝕚𝕟𝕕𝕚𝕣𝕚𝕫𝕫𝕠 𝕕𝕖𝕝 𝔾𝕒𝕣𝕒𝕟𝕥𝕖 𝕤𝕦𝕚 𝕞𝕖𝕥𝕒𝕕𝕒𝕥𝕚: 𝕔𝕙𝕖 𝕗𝕒𝕣𝕖?
Inutile ricordare cosa ci sia scritto o non scritto in questo documento. L’hanno commentato in tanti.
👉 Per capire davvero cosa ci sia scritto è opportuno leggere la fonte ( perché il cervello umano ha molta più fantasia delle intelligenze artificiali 😉).
Si tratta di documento di “indirizzo interpretativo”, quindi va letto, adattandolo al proprio contesto, secondo il principio di #accountability che deve animare ogni azione prevista dal #GDPR.
📌 Alcune brevissime considerazioni:
– premesso che i principi generali del GDPR e della L. 300/1970 vanno sempre rispettati, l’attuale articolo 4 dello Statuto dei lavoratori, come modificato nel 2015 dal Jobs Act, prevede nel comma 2 una precisa eccezione rispetto alle garanzie esplicitate nel comma 1 per tutti “gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”. Le e-mail aziendali, a maggior ragione se ben regolamentate nel loro utilizzo professionale da policy trasparenti ed esaustive, sono senz’altro “strumenti di lavoro”. Se per garantire l’efficienza e la sicurezza di uno strumento di lavoro è necessario conservare determinati “metadati”, tale documentata esigenza consente di confermare l’applicazione del II comma. Del resto, non si leggono nella lettera della normativa ipotesi diverse che consentano di “far rientrare dalla finestra” ciò che invece è espressamente eccezione a un principio generale.
– la corrispondenza (cartacea e digitale) va ordinatamente conservata secondo l’art. 2220 del codice civile (e per le PA secondo quanto previsto dal Codice dei beni culturali). Per poterlo fare i metadati sono indispensabili, come precisato anche dalle regole tecniche sulla gestione e conservazione dei documenti informatici di #AgID.
– i rapporti tra organizzazione datore di lavoro e grandi provider di posta non sempre sono facilmente e schematicamente sussumibili in ciò che in astratto il GDPR prevede. L’accountability serve a livellare rapporti contrattuali non ben bilanciati in una sinallagmaticità perfetta: designare responsabile Google è burocrazia formale, non di certo diritto sostanziale. Dobbiamo sforzarci sempre di cercare di verificare bene come garantire i diritti dei lavoratori in rapporti contrattuali sbilanciati, senza però immaginare e chiedere ciò che possibile non è.
– il fatto che teoricamente un datore di lavoro possa acquisire dall’analisi di metadati, indirettamente “messi a sua disposizione”, dei dati personali di un lavoratore, non significa che possa farlo, se la finalità di trattamento è tutt’altra. A questo servono i modelli organizzativi.
⚠️ Attendiamo pazientemente che l’Autorità chiarisca la logica del suo intervento interpretativo (e sono certo che definirà meglio ambiti e obiettivi del suo documento), senza nell’attesa avventurarsi in pindariche e fantasiose richieste via PEC ai propri provider.
In ogni caso, w la fantasia!