Ordinanza di ingiunzione nei confronti della Regione Lazio – riflessioni e consigli pratici

Il Coffee Privacy di Area Legale questa settimana è stato dedicato – oltre che ai saluti di buone feste – all’analisi dell’Ordinanza di ingiunzione nei confronti della Regione Lazio del 1 dicembre 2022 (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9833530).
 

IL PROVVEDIMENTO

In tale Ordinanza il Garante ha censurato il controllo dei metadati della posta elettronica dei dipendenti (mittente, oggetto, destinatario, ricognizione  e pesatura di eventuali allegati alle e-mail stesse) in quanto svolto in violazione delle norme in materia di protezione dei dati personali e dei principi giuslavoristici relativi al divieto di controllo a distanza dei lavoratori, comminando quindi una sanzione di 100.000 euro.

L’istruttoria è stata occasionata dalla segnalazione di un sindacato che ha lamentato un  controllo massivo e indiscriminato delle e-mail in uscita dalle caselle di posta elettronica istituzionale attribuite agli avvocati dell’avvocatura generale, in particolare dei dipendenti che inviavano messaggi a uno specifico sindacato.

A sua volta l’Amministrazione si è giustificata argomentando che tale accertamento si fosse reso necessario a fronte della presunta rivelazione da parte dei propri dipendenti di notizie d’ufficio.

Il Garante ha ritenuto che:

1. la posta elettronica lavorativa è coperta da particolari garanzie di riservatezza anche di rango costituzionale;
2. il monitoraggio del personale dell’avvocatura è stato reso possibile grazie all’utilizzo dei dati conservati per generiche finalità di sicurezza informatica per 180 giorni;
3. che la generalizzata raccolta e l’estesa conservazione dei metadati della posta elettronica (per un termine pari a 180 giorni) non è coerente con le logiche di tutela della sicurezza paventate dalla Regione Lazio, atteso che a tali fini è sufficiente la conservazione per un periodo di tempo non superiore a 7 giorni;
4. in caso di utilizzo di strumenti dai quali possa derivare anche un controllo dei lavoratori operano le garanzie procedurali sancite dall’art. 4 dello Statuto dei lavoratori (accordo sindacale o autorizzazione amministrativa);
5. il controllo non era stato reso noto ai dipendenti tramite un disciplinare interno;
6. non era stata fornita idonea informativa sul trattamento posto in essere, la quale peraltro costituisce una specifica precondizione per il lecito utilizzo dei dati raccolti attraverso strumenti tecnologici;
7. la base giuridica del trattamento, erroneamente individuata nel legittimo interesse (base giudica peraltro esclusa per gli enti pubblici) è costituita invece dalla disciplina di settore di cui all’art. 4 dello Statuto dei lavoratori;
8. non è stata svolta la necessaria DPIA, a fronte del carattere ‘vulnerabile’ dei lavoratori e dei rischi connessi all’impiego di sistemi che comportino un monitoraggio sistematico.

LA RIFLESSIONE

Il Provvedimento in esame, pur essendo condivisibile in numerosi aspetti (quali in generale il rispetto dei principi in materia di trattamento, il rispetto degli obblighi informativi nei confronti dei lavoratori, ecc.), sorprende in quanto:

• parrebbe privare di forza il concetto dei c.d. ‘controlli difensivi’ che, per quanto criticati anche da parte della dottrina giuslavoristica, sono ancora oggi una categoria di notevole importanza (cfr. da ultimo Cass. 355/2021). I controlli difensivi consentono infatti, in presenza di obiettivi e specifici indizi di un comportamento illecito di un dipendente in danno al datore di lavoro – reperiti aliunde, quindi non dai sistemi che si intende utilizzare – di implementare un controllo anche in assenza delle garanzie procedurali previste dallo Statuto dei lavoratori e di adeguata informativa.

Sarebbe interessante conoscere analiticamente i fatti per valutarne la sussumibilità in tale categoria (ipotesi questa comunque negata dall’Autorità);

• cristallizza il principio secondo il quale la conservazione dei metadati relativi all’utilizzo della posta elettronica dei dipendenti superiore a 7 giorni, potendo comportare un indiretto controllo a distanza dei lavoratori, è soggetto alle garanzie procedurali di cui all’art. 4. In particolare, a parere dell’Autorità, il termine di 7 giorni sarebbe sufficiente ad assicurare il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica.

Non è chiaro quali parametri siano stati utilizzati per stabilire il suddetto limite temporale, e in ogni caso permangono numerose perplessità, tenuto conto anche dei framework di sicurezza solitamente suggeriti (normalmente 6 mesi).

Un punto invece estremamente positivo riguarda il fatto che, ancora una volta, viene ribadito il principio secondo il quale è il Titolare del trattamento a dover stabilire il termine di conservazione dei dati e a dover indicare tale termine, a mezzo di istruzioni, al Responsabile del trattamento. Spesso, infatti, i Responsabili del trattamento sono oneratati in via di fatto di stabilire i tempi di conservazione, secondo una prassi tanto discutibile quanto diffusa.

CONSIGLI PRATICI

Come muoversi in considerazione di quanto statuito dal Garante?

1. Verificare i tempi di conservazione dell’envelope delle e-mail fissato a livello aziendale e, in caso tale termine sia superiore a 7 giorni, sospendere la conservazione oltre tale termine e sollecitare il conseguimento di un accordo sindacale sul punto (e in mancanza rivolgersi all’Ufficio dell’Ispettorato del lavoro  competente);
2. Verificare che i lavoratori siano resi edotti del controllo, tramite disciplinare/policy aziendale e informativa;
3. Svolgere una DPIA sul trattamento.

Redazione Area Legale, Sergio Aracu, Beatrice Piletti, Virginia Giannini, Agnese Micozzi, Costanza Matteuzzi, Chiara D'Ambrosio, Simona Schena.
Questo articolo è a firma di Beatrice Piletti.