La posta elettronica: strumento di lavoro o strumento di controllo?

I metadati sono le informazioni di cui bisogna dotare il documento informatico per poterlo correttamente formare, gestire e conservare nel tempo.

Il documento informatico è infatti privo della componente materiale costituita dalla carta ed è memorizzato in sistemi che contengono moltissimi oggetti digitali; per poter essere conservato, reso accessibile nel tempo, e per poter essere correttamente inserito nel suo contesto, deve essere posto in relazione ad un insieme di informazioni che lo descrivano a vari livelli.

I metadati più basilari sono il formato e il nome del file, le specifiche tecniche sulla versione del software e sul hardware, le date di creazione, di accesso e di ultima modifica, l’autore; quelli più complessi la descrizione, l’oggetto, i termini di rilascio, accesso e uso, ecc.

La normativa italiana prevede alcuni metadati minimi che devono essere associati al documento informatico: i) Identificativo; ii) Data di chiusura; iii) Oggetto; iv) Soggetto produttore; v) Destinatario.

Tali elementi servono per attribuire al documento un’identità ben precisa. Si capisce, quindi, perché viene ritenuta cruciale la fase di formazione dell’archivio per la corretta tenuta e conservazione della documentazione digitale.

Il documento però una volta formato avrà un suo percorso di esistenza che lo porterà ad essere gestito da diversi sistemi e applicazioni con la contestuale produzione e associazione di ulteriori informazioni. Un altro aspetto da tenere in considerazione, dunque, è che i metadati non vengono attribuiti ai documenti, e in generale agli oggetti digitali tutti, nel medesimo tempo, ma tendono ad accumularsi nel corso della vita degli stessi per tracciarne l’utilizzo, ad esempio gli accessi, le modifiche, i trasferimenti, le copie, nonché le modalità della sua conservazione.

Si comprende quindi che i metadati sono dati che descrivono il contenuto, la struttura e il contesto dei documenti e la loro gestione nel tempo.

Con la riforma dell’art. 4 L. 300/70– che disciplina modalità e limiti del potere di controllo dei datori di lavoro pubblici e privati –introdotta con l’art. 23, D. Lgs. 14 settembre 2015 n. 151, è stato modificato l’impianto normativo a tutela della dignità e della libertà (di cui la riservatezza è uno degli aspetti di maggior rilievo) dei lavoratori. Non sussiste più un divieto assoluto di installare sistemi di videosorveglianza o altre apparecchiature con finalità di controllo – com’era previsto in precedenza – ma, ciò non di meno, l’utilizzo di strumenti di controllo è assoggettato a dei limiti ben precisi, anzitutto, di scopo: esso infatti è, ora, possibile esclusivamente quando sia necessitato da esigenze organizzative e produttive, per la sicurezza del lavoro o per la tutela del patrimonio aziendale.

In tali casi occorre concludere prima dell’installazione di qualsivoglia strumento anche solo di potenziale, un accordo con le RSA o le RSU presenti in azienda o, in alternativa, in caso di imprese con unità su più province o su più regioni con le OO.SS. comparativamente più rappresentative sul piano nazionale.

In difetto sarà necessario acquisire l’autorizzazione dall’Ispettorato del Lavoro, al quale dovranno essere presentate le istanze, documentate e giustificate dalle finalità sopra riportate.

Dagli strumenti di controllo si distinguono gli strumenti di lavoro, che si caratterizzano per essere utilizzati dai lavoratori nell’espletamento delle mansioni loro assegnate.

In ogni caso, per poter utilizzare le informazioni acquisite, sia tramite gli strumenti di controllo sia tramite gli strumenti di lavoro, è necessario che il datore di lavoro elabori e porti a conoscenza dei propri dipendenti una informativa puntuale e dettagliata, sui gli strumenti adottati o concessi in uso, sulle modalità di conservazione delle informazioni acquisite tramite essi, sui tempi di conservazioni di tali informazioni e sulle modalità di controllo dei beni, con conseguente accesso alle informazioni.

L’utilizzazione delle informazioni è poi assoggettata al rispetto della normativa sulla privacy così come introdotta dal D. Lgs. 196/2003, modificato dal GDPR e dal D. Lgs 101/2018.

Da tale ultima previsione discende la sempre maggior rilevanza che viene acquisita dai provvedimenti del Garante Privacy, sia quelli generali (come le c.d. Linee guida) sia quelli individuali che regolano la fattispecie esaminata ma offrono utili indicazioni per il trattamento dei dati in ogni situazione simile.

Come specifica il documento adottato il 21 dicembre 2023, qui all’esame, affinché sia ritenuto applicabile il comma 2 dell’art. 4 della L. n. 300/1970 – che consente l’acquisizione di informazioni senza il previo accordo sindacale o la previa autorizzazione amministrativa – dovrà essere previsto che l’attività di raccolta e conservazione dei soli c.d. metadati, necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, avvenga per un tempo che non può essere superiore di norma a poche ore o ad alcuni giorni, in ogni caso non oltre sette giorni, estendibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore.

Il rischio sorge per i programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, che possano raccogliere, per impostazione predefinita, in modo preventivo e generalizzato, i c.d. metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email), conservando gli stessi per un esteso arco temporale. Talvolta gli stessi produttori di questi programmi e servizi pongono limitazioni al cliente (datore di lavoro) in ordine alla possibilità di modificare le impostazioni di base del programma informatico, al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi, creando situazioni di contrasto con la disciplina prevista dall’art. 4, c. 2 o con la disciplina in materia di protezione dei dati e le norme che tutelano la liberà e la dignità dei lavoratori (cfr. artt. 113 e 114 del Codice Privacy).

Utilizzando programmi o servizi in cloud il titolare del trattamento potrebbe incorrere nelle violazioni dei principi di protezione dei dati e di responsabilizzazione, in quanto sul titolare ricadono le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati, anche quando utilizza prodotti o servizi realizzati da terzi che impediscano modifiche all’acquisizione delle informazioni previste dallo stesso produttore.

Con il documento all’esame, il Garante chiede un intervento diretto dei titolari del trattamento dei dati (per lo più i datori di lavoro) perché vengano rispettati i tempi e le modalità di conservazione delle informazioni acquisite, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore.

I datori di lavoro che per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare (in particolare, ad esempio, per specifiche esigenze di sicurezza dei sistemi) avessero necessità di trattare i metadati per un periodo di tempo più esteso, dovranno espletare le procedure di garanzia previste dall’art. 4, c. 1 L. 300/70 (accordo sindacale o autorizzazione dell’ispettorato del lavoro). L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore.

In definitiva, lo stesso strumento ovvero il sistema di gestione della posta elettronica aziendale, può essere sottoposto alla disciplina degli strumenti di lavoro, quando rispetti le tempistiche – massimo 7 giorni – indicate dal Garante come usuali per il buon funzionamento dello sistema informatico della posta elettronica. Qualora invece, per ragioni di sicurezza, tale periodo dovrà essere più esteso e con modalità di conservazione più ampie, lo strumento stesso acquisirà capacità di controllo sull’operato dei lavoratori e, pertanto, dovrà essere considerato alla stregua di uno strumento di (potenziale) controllo dell’attività lavorativa e, come tale, assoggettato alla disciplina di tutela della dignità e della riservatezza dei lavoratori sui luoghi di lavoro: sarà quindi necessario il perfezionamento dell’accordo sindacale o l’acquisizione della autorizzazione dell’INL.

Ne va della possibilità di utilizzare le informazioni acquisite.