Non c’è impresa che non tratti dati personali: quelli dei dipendenti, quelli dei clienti, quelli che sono contenuti in tutte le comunicazioni esterne o interne. Proprio in ragione di questo flusso, le imprese devono adeguare la propria organizzazione aziendale alle stringenti indicazioni del Garante. Rientra in questa logica la direttiva del Garante n. 642 del 21 dicembre 2023 che fa specifico riferimento alla casella di posta elettronica aziendale e alla gestione dei metadati generati dalla posta elettronica.
Per capire che cosa impone il garante andiamo con ordine.
Innanzitutto, sotto il profilo della privacy, vale la regola secondo cui la conservazione dei dati rispettare i principi di proporzionalità e minimizzazione, inoltre essa non può avvenire in modo indiscriminato, né per un tempo indefinito e disancorato da specifiche finalità.
In secondo luogo, occorre interrogarsi se tale tecnologia (la mail) incida su un possibile controllo (elettronico) del lavoratore.
Generalmente, la posta elettronica aziendale individualizzata (cioè quella riportante il nome e il cognome del dipendente e di dominio aziendale) viene ricondotta alla nozione di «strumento di lavoro» di cui all’art. 4, comma 2, dello statuto dei lavoratori, ciò in ragione del fatto che l’utilizzo dell’e-mail risulta essere strettamente funzionale all’esecuzione delle mansioni di lavoro. In questo senso, il datore di lavoro che affidi a un dipendente una casella di posta aziendale non è tendenzialmente tenuto a rispettare la procedura sindacale di autorizzazione prevista dall’art. 4, comma 1 della legge 300/1970. La norma richiede l’autorizzazione del sindacato o dell’ispettorato del lavoro per installazioni che potrebbero potenzialmente incidere sul controllo delle prestazioni lavorative. Ma l’esonero dalla procedura non è assoluto, perché subisce delle eccezioni in ragione dei tempi di conservazione dei dati acquisiti mediante la strumentazione tecnologica utilizzata.
Allora, vediamo quali sono le domande che l’imprenditore deve porsi, a questo proposito? Innanzitutto, la strumentazione aziendale affidata ai collaboratori acquisisce dati in grado, seppur in via mediata, di effettuare un controllo sulla prestazione di lavoro? Quale tipologia di dati risulta acquisita e conservata? Per quanto tempo vengono conservati? Il tempo della conservazione è proporzionato rispetto alla finalità per la quale quel dato è acquisito?
Il Garante ha infatti precisato che, affinché la conservazione dei metadati delle e-mail sia riconducibile all’art. 4, comma 2, dello Statuto e, quindi, sia esonerata dalla preventiva autorizzazione sindacale, «non può essere superiore di norma a poche ore o ad alcuni giorni, in ogni caso non oltre sette giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore». Sotto questo profilo, l’Autorità garante ha ritenuto che la generalizzata raccolta e la conservazione dei metadati dell’email aziendali (giorno, ora, mittente, destinatario, oggetto e dimensione dell’email) da parte del datore di lavoro, per un lasso di tempo più esteso rispetto a quello poc’anzi detto – ancorché ancorata al presupposto della sua necessità per finalità di sicurezza informatica o tutela dell’integrità del patrimonio, anche informatico, del datore di lavoro – può comportare un indiretto controllo a distanza dell’attività dei lavoratori. Per questo motivo, ad avviso del Garante, una conservazione dei metadati dell’e-mail per un tempo superiore a quello indicato richiederebbe la preventiva autorizzazione sindacale e l’informativa ai dipendenti in ordine alle modalità di conservazione e di utilizzo dei dati raccolti.