Un provvedimento pubblicato a fine ottobre 2024 (il numero 472 del 17 luglio 2024) rende ancora più complessa la gestione delle email dei dipendenti, specie per quanto riguarda la loro conservazione cessato il rapporto. In realtà anche l’informativa ha il suo peso. Resta il fatto che il Garante ha correttamente individuato le normative che reggono la materia e le ha correttamente applicate.
La vicenda in sintesi
Un ex agente di una società ha proposto reclamo al Garante perché si è visto produrre, nel giudizio civile che vedeva contrapposti proprio l’ex agente e la società, email provenienti dall’account aziendale.
La società aveva agito in giudizio per tutelarsi contro l’abuso di informazioni aziendali coperte da segreto e ha prodotto al Garante tutto quanto richiesto, informative comprese.
La società precisava che non era mai stato effettuato alcun accesso all’email dell’agente in corso di rapporto, e che l’analisi era stata effettuata dopo che erano emersi elementi a carico di quest’ultimo.
In giudizio era stata prodotta copia forense del backup delle email dell’account aziendale in uso all’ex agente: da qui il reclamo al Garante.
Il provvedimento e le questioni sul tavolo
Con riferimento agli specifici aspetti di illiceità contestati, la Società osservava che:
“- il back up sulle caselle e-mail, eseguito mediante l’applicativo Mail Store, “è una misura tecnica di sicurezza” disposta in ottemperanza all’art. 5, par. 1, lett. f) del Regolamento “per garantire la sicurezza e l’integrità dei dati personali trattati da attacchi informatici (…). L’esecuzione del backup non richiede alcun accesso da parte del personale aziendale, mentre il periodo massimo di conservazione pari a tre anni, è un parametro teorico che delimita il tempo massimo di retention e, di conseguenza, il tempo massimo per cui è possibile recuperare dati e/o informazioni a ritroso in caso di disservizio o attacco informatico;
– rispetto all’informativa resa ai propri dipendenti e collaboratori, questa “specificava la possibilità per Selectra di accedere al contenuto delle caselle e-mail per eventuali e comprovate esigenze di continuità lavorativa (…). La finalità indicata nell’informativa resa al [reclamante] è del tutto legittima, perché riferibile a caselle e-mail aziendali assegnate a soggetti diversi dai dipendenti. Gli agenti di commercio della Selectra, infatti, non hanno accesso ai software gestionali aziendali (CRM, ERP, etc.) e gestiscono la loro routine esclusivamente mediante la posta elettronica;
– l’esigenza di assicurare la continuità lavorativa costituisce la finalità per la quale la Selectra, esclusivamente mediante un soggetto incaricato, potrebbe accedere alla casella di posta elettronica”.
In altri termini, l’informativa resa al collaboratore esplicitava la finalità della data retention per continuità aziendale e per sicurezza informatica: entrambe finalità lecite attuate con misure proporzionate.
Il problema è che, nel caso di specie, le email conservate sono state utilizzate per una difesa giudiziaria, che nulla ha a che fare con business conituity e cybersecurity.
Da qui il ragionamento dell’Autorità Garante, completo e chiaro nel suo dipanarsi.
Dopo aver accertato la violazione degli articoli 5, paragrafo 1, lettera a) e 13 del GDPR, Il Garante ha anche accertato la violazione dell’articolo 5, paragrafo 1, lettere a), c) ed e) e 88 del GDPR e dell’articolo 114 del Codice privacy.
Merita riportare la motivazione di quest’ultima sezione.
“In primo luogo, si rileva che la Società, a fronte della conservazione anche del contenuto delle comunicazioni effettuate da dipendenti e collaboratori tramite la posta elettronica per un tempo così esteso (ovvero tutta la durata del rapporto di lavoro e tre anni dopo la cessazione del rapporto stesso), non ha indicato le specifiche ragioni in virtù delle quali, tenuto anche conto delle concrete caratteristiche dei sistemi utilizzati, ha ritenuto necessario individuare un siffatto periodo di conservazione (retention) per finalità di sicurezza dei predetti sistemi.
Nello stesso tempo, la Società non ha indicato le specifiche ragioni in virtù delle quali ha ritenuto necessario conservare per l’ampio tempo di conservazione pari a 6 mesi i log di accesso alla posta elettronica e al gestionale in uso ai dipendenti (al riguardo si veda anche quanto precisato dall’Autorità sui tempi di conservazione dei log della posta elettronica nel Provvedimento del 6 giugno 2024, “Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, doc web. n. 10026277).
Emerge, in ogni caso, con evidenza che il software Mail Store è stato utilizzato per finalità diverse da quella di garantire la sicurezza dei sistemi informatici. Infatti, nella fattispecie oggetto di reclamo, la Società ha analizzato le e-mail presenti sull’account del reclamante, ne ha verificato il contenuto e avviato il contenzioso.
Le operazioni di trattamento realizzate per mezzo del suddetto software (quali la raccolta, la conservazione, la consultazione) che hanno consentito di ricostruire l’attività dell’interessato, risultano in contrasto con i principi di liceità, di minimizzazione dei dati e di limitazione della conservazione (art. 5, par. 1, lett. a), c) ed e) del Regolamento).
Infatti, in base alla disciplina posta in materia di protezione dei dati personali, nell’ambito di rapporti di lavoro/collaborazione, il titolare può trattare lecitamente i dati personali, di regola, solo se il trattamento è necessario per la gestione del rapporto stesso oppure se è necessario per adempiere a specifici obblighi o compiti posti dalle discipline di settore applicabili (art. 6, par. 1, lett. a) e c) del Regolamento, con riferimento ai dati c.d. comuni), e comunque può trattare solo i dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattate e per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.
Nel caso di specie, invece, la sistematica conservazione delle e-mail, effettuata per un considerevole periodo di tempo (pari a tre anni successivi alla cessazione del rapporto), nonché la sistematica conservazione dei log di accesso alla posta elettronica e al gestionale utilizzato dai lavoratori, non sono conformi alla disciplina di protezione dei dati, in quanto non proporzionata e necessaria al conseguimento delle dichiarate finalità di sicurezza della rete informatica e di continuità dell’attività aziendale.
Sotto altro profilo, emerge che il trattamento che la Società effettua in qualità di datore di lavoro sui dati contenuti nelle caselle di posta elettronica (ad esempio a seguito della conservazione delle e-mail ricevute e inviate durante l’attività lavorativa) assegnate ai propri dipendenti è idoneo a consentire un’attività di controllo sull’attività dei lavoratori in violazione di quanto previsto dall’art. 4 della legge n. 300 del 20/05/1970, norma richiamata dall’art. 114 del Codice (v. tra gli ultimi provvedimenti adottati dal Garante, provvedimento n. 255 del 21/07/2022, doc. web n. 9809466, provvedimento n. 137 del 15/04/2021, doc web n. 9670738, provvedimento n. 214 del 29/10/2020, doc. web n. 9518890 e il provvedimento n. 353 del 29/09/2021, doc. web n. 9719914).
In base all’art. 114 del Codice, infatti, il rispetto della disposizione di cui all’art. 4 della citata legge n. 300/1970 costituisce condizione di liceità dei trattamenti di dati personali effettuati in ambito lavorativo, in quanto è una delle norme del diritto nazionale “più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro” individuate dall’art. 88 del Regolamento (v. artt. 5, par. 1, lett. a) e 88 del Regolamento).
Proprio con riferimento ai profili di violazione dell’art. 114 del Codice, si osserva che il software utilizzato dalla Società (fino alla dichiarata sospensione del suo utilizzo), proprio per le sue caratteristiche (così come descritte dalla parte e vista l’informativa rilasciata ai lavoratori), è idoneo a realizzare un controllo dell’attività lavorativa (su questo punto, si veda tra gli altri il provvedimento n. 303 del 13/07/2016, doc web n. 5408460).
In particolare, la Società, attraverso il citato software, ha effettuato trattamenti che consentono di ricostruire minuziosamente, anche a distanza di tempo, l’attività dei dipendenti, sia attraverso le comunicazioni scambiate via e-mail, sia attraverso i log del gestionale utilizzato per svolgere l’attività lavorativa.
Peraltro anche se, in ipotesi, tali trattamenti fossero preordinati a realizzare una delle finalità tassativamente indicate dall’art. 4, comma 1, legge n. 300/1970 cit., non risulta che la Società abbia attivato la procedura di garanzia ivi prevista (accordo con le rappresentanze dei lavoratori o, in assenza, autorizzazione dell’Ispettorato del lavoro).
In ultimo, si osserva che con riferimento all’accesso sulla posta elettronica, delegato allo studio di ingegneria forense ed effettuato secondo la Società per la “finalità determinata e legittima di tutela in ambito giudiziario” (così come indicato nell’informativa), l’Autorità ha avuto modo di precisare che il trattamento dei dati personali effettuato per finalità di tutela dei propri diritti in giudizio deve riferirsi a contenziosi già in atto o a situazioni precontenziose, non ad astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti (si veda il provvedimento n. 53 del 01/02/2018, doc web n. 8159221 e il provvedimento n. 255 del 21/07/2022, doc web n. 9809466).
Altri elementi da considerare con riferimento al controllo delle email aziendali
Merita ricordare che oltre a GDPR, Codice privacy e Statuto dei lavoratori, nel contesto delle email aziendali può intervenire anche l’AI Act.
L’articolo 6, paragrafo 2 dell’AI Act, infatti, prevede che siano considerati sistemi ad alto rischio i sistemi di AI elencati all’Allegato III.
Quest’ultimo, all’articolo 4, individua la seguente ipotesi in cui l’uso dell’AI è ad alto rischio.
“4. Occupazione, gestione dei lavoratori e accesso al lavoro autonomo:
a) i sistemi di IA destinati a essere utilizzati per l’assunzione o la selezione di persone fisiche, in particolare per pubblicare annunci di lavoro mirati, analizzare o filtrare le candidature e valutare i candidati;
b) i sistemi di IA destinati a essere utilizzati per adottare decisioni riguardanti le condizioni dei rapporti di lavoro, la promozione o cessazione dei rapporti contrattuali di lavoro, per assegnare compiti sulla base del comportamento individuale o dei tratti e delle caratteristiche personali o per monitorare e valutare le prestazioni e il comportamento delle persone nell’ambito di tali rapporti di lavoro”.
Non solo: il disegno di legge delega in materia di intelligenza artificiale prevede quanto segue.
Interessante l’articolo 10, che tratta della normativa applicabile al diritto del lavoro.
“1. L’intelligenza artificiale è impiegata per migliorare le condizioni di lavoro, tutelare l’integrità psicofisica dei lavoratori, accrescere la qualità delle prestazioni lavorative e la produttività delle persone in conformità al diritto dell’Unione europea.
2. L’utilizzo dell’intelligenza artificiale in ambito lavorativo deve essere sicuro, affidabile, trasparente e non può svolgersi in contrasto con la dignità umana né violare la riservatezza dei dati personali. Il datore di lavoro o il committente è tenuto a informare il lavoratore dell’utilizzo dell’intelligenza artificiale nei casi e con le modalità di cui all’articolo 1 bis del decreto legislativo 26 maggio 1997, n. 152.
3. L’intelligenza artificiale nell’organizzazione e nella gestione del rapporto di lavoro garantisce l’osservanza dei diritti inviolabili del lavoratore senza discriminazioni in funzione del sesso, dell’età, delle origini etniche, del credo religioso, dell’orientamento sessuale, delle opinioni politiche e delle condizioni personali, sociali ed economiche, in conformità con il diritto dell’Unione”.
Posto il principio cardine di tutto il sistema di diritto del lavoro in Italia, per cui il lavoro non è una merce ma un diritto, si leggono passaggi interessanti.
In primo luogo la IA deve essere impiegata per promuovere la sicurezza sul lavoro; sarà interessante capire come verrà contemperato il diritto/divere di lavorare in sicurezza con il diritto alla protezione dei dati personali dei lavoratori.
Idem dicasi in ottica sindacale: il comma 3 si riferisce anche a quello.
Trattandosi di un disegno di legge delega, si leggono solo i principi generali; qui sarà quindi cruciale la normativa di dettaglio dei decreti delegati.
Conclusioni
Non c’è pace in materia di controllo e gestione delle email aziendali dei dipendenti.
Se, da un lato, è necessario che l’informativa sia resa in modo corretto e coerente con le finalità perseguite, dall’altro ci sono dei limiti legislativi invalicabili al controllo della corrispondenza, anche se aziendale.
Per quanto possa apparire esoso far intervenire Direzione territoriale del lavoro o rappresentanza sindacale per regolare l’uso e l’impiego datoriale delle email aziendali, va ricordato che la segretezza della corrispondenza e delle comunicazioni in generale è un bene costituzionalmente tutelato: l’articolo 15 della Costituzione, infatti, recita che “ La libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili.
La loro limitazione può avvenire soltanto per atto motivato dell’autorità giudiziaria con le garanzie stabilite dalla legge”.
Pensare di poter effettuare lo storage delle email aziendali per finalità di controllo postumo è come ritenere di poter conservare i messaggi delle varie app ormai largamente in uso: di fatto parliamo di intercettazioni di conversazioni, atteso che sono tutte istantanee, anche se la consuetudine di utilizzo e la pratica di ogni applicazione ne determina una diversità di impiego pratico.
Ma, nella sostanza, non c’è più differenza tra un’email o un sms inviato tramite qualunque piattaforma.
Da qui l’esigenza di tutela e la radicalissima smentita di alcune notizie circolate a mezzo stampa – anche prestigiosa – per cui per le email aziendali basterebbe l’informativa.
L’informativa non basta: è obbligatoria, ma non copre in nessun caso utilizzi indiscriminati delle email aziendali dei dipendenti.