Metadati delle e-mail aziendali con la scappatoia, ma anche con un possibile inghippo. Non scattano sanzioni per l'omesso accordo sindacale sull'uso del sistema di conservazione dei cosiddetti log se il datore di lavoro autodichiara la necessità di tenerli per un tempo prolungato, la cui durata può, sulla carta, essere fissata dallo stesso datore di lavoro.
È quanto deriva dalla nota del Garante della privacy del 6 giugno 2024, n. 364, come commentata dall'associazione Confindustria con la circolare del 22 luglio 2024.
A prima vista, dunque, il documento del Garante va incontro alla duplice necessità delle imprese di non essere vincolate a un termine troppo corto di conservazione dei metadati delle e-mail aziendali e, anzi, di avere le mani libere per decidere quale termine fissare. C'è, però, l'altra faccia della medaglia: le scelte discrezionali, del datore di lavoro potranno essere contestate dai lavoratori e/o dai sindacati, che possono inviare segnalazioni o reclami al Garante privacy, all'Ispettorato del lavoro (Itl) e presentare denunce in sede penale.
Insomma, a riguardo dei metadati delle e-mail aziendali, l'impresa paga la libertà d'azione con l'esposizione a un volume elevato di rischi, anche penali. Ma ricostruiamo la vicenda.
Nel 2016, trattando il caso di un'università, il Garante, con il provvedimento n 303 del 13 luglio, detta alcune regole sulle e-mail aziendali:
1) la e-mail è uno strumento di lavoro (perciò escluso, ai sensi dall'articolo 4, comma 2, legge 300/1970, dall'obbligo di previo accordo sindacale, quest'ultimo prescritto dal comma 1 dello stesso articolo 4);
2) i metadati delle e-mail sono strumento di lavoro, se conservati per 7 giorni;
3) oltre i 7 giorni i metadati diventano strumenti di controllo indiretto dei lavoratori (articolo 4, comma 1, legge 300/1970) e, quindi, ci vuole l'accordo sindacale.
Salvo casi sporadici, il tema rimane di basso profilo, finché nel 2023 il Garante diffonde una prima nota (la n. 642 del 21 dicembre 2023) non solo non vincolante, ma anche in gran parte ripetitiva delle motivazioni del provvedimento del 2016.
A questo punto, però, il caso monta e alcuni forti organizzazioni di categoria alzano la voce, tanto da costringere il Garante ad aprire una consultazione pubblica per capire se dovesse ritornare sui propri passi.
E, in effetti, è proprio quel che avviene con la nota del 6 giugno 2024, n. 364, nella quale il Garante:
1) corregge un'imprecisione nella descrizione dei metadati cui vuol riferirsi;
2) allunga il periodo di conservazione dei metadati, senza necessità di accordo sindacale;
3) afferma che le imprese possono motivatamente stabilire da sole il periodo di conservazione esentato dall'accordo sindacale.
In dettaglio, sul primo punto, il Garante dice che voleva riferirsi solo ai file creati automaticamente dall'applicativo della e-mail, file che non sono sotto gli occhi di chi manda o riceve una comunicazione elettronica. Questi file, separati dal messaggio di e-mail, sono chiamati nella citata circolare di Confindustria “log di trasporto”. Questi log contengono, oltre agli indirizzi IP dei server o dei client coinvolti nell'instradamento del messaggio, quelle stesse notizie della comunicazione di e-mail che appaiono, sotto diversa forma, a chi scrive o legge la e-mail e cioè: indirizzi e-mail di mittente e destinatario, orari di invio, di ritrasmissione o di ricezione, dimensione del messaggio, presenza e dimensione di eventuali allegati e, in certi casi, anche oggetto del messaggio.
La differenza è, dunque, che i log sono automatizzati e non sono sotto il controllo di mittenti e destinatari delle e-mail.
A proposito del periodo di conservazione dei metadati, senza necessità di accordo sindacale, il Garante lo allunga a 21 giorni: questo lasso di tempo è compatibile con l'esigenza di sicurezza e funzionalità e, quindi, i metadati conservati fino a 21 giorni sono uno strumento di lavoro (secondo il Garante).
C'è, poi, la terza novità, che consegna tutta la questione nelle mani del datore di lavoro, inchiodandolo allo stesso tempo alle sue responsabilità.
Il Garante, infatti, scrive che, allo scopo di assicurare il funzionamento del sistema della posta elettronica, l'eventuale conservazione per un termine più ampio di 21 giorni (senza obbligo di accordo sindacale) potrà essere effettuata, solo in presenza di particolari e comprovate condizioni di necessità, a fronte di specificità della realtà tecnica e organizzativa dell'impresa.
La citata circolare di Confindustria sottolinea la novità di questo terzo profilo e spiega che in presenza di documentate esigenze tecniche (per esempio garanzie essenziali di sicurezza informatica e per ottemperare alla norme sulla cybersicurezza) e organizzative (per esempio gestione centralizzata dei sistemi nei gruppi multinazionali), il datore di lavoro potrà stabilire un periodo di conservazione dei log di trasporto superiore ai 21 giorni, senza dover svolgere particolari adempimenti di carattere giuslavoristico. Qualora, invece, a giustificare un tempo di conservazione superiore (ai 21 giorni), conclude Confindustria, siano ragioni diverse dal buon funzionamento e dalla sicurezza informatica di base, sarà necessario stipulare un accordo con i sindacati o ottenere l'autorizzazione amministrativa dall'Ispettorato del lavoro.
Anche la circolare Confindustria, comunque, butta la pallina sul campo della singola impresa: spetta al datore di lavoro, si legge nella circolare, stabilire un termine di conservazione dei metadati proporzionato rispetto alle legittime finalità perseguite.
Quindi, se si conservano i metadati delle e-mail entro i 21 giorni non ci vuole accordo/autorizzazione, mentre decorsi i 21 giorni gli adempimenti dipendono, in prima battuta, da quello che sceglie e documenta l'impresa nelle sue policy interne.
Poteri e rischi. Alla luce della nota del Garante, come illustrata dal Confindustria, il datore di lavoro, motivando sulle ragioni di sicurezza e funzionalità, finisce per decidere da sé se e quando intavolare trattative con i sindacati o chiedere autorizzazioni. Ciò ha conseguenze sul piano amministrativo e penale. Ai sensi dell'articolo 114 del codice della privacy, il mancato rispetto dell'obbligo di accordo sindacale/autorizzazione dell'ispettorato comporta la violazione della privacy e il Garante applica le relative sanzioni: ma se non c'è l'obbligo a monte, non ci sono le sanzioni a valle. Allo stesso modo, si consideri che l'articolo 171 del codice della privacy richiama le sanzioni penali previste dall'articolo 38 della legge 300/1970 in caso di violazione dell'articolo 4, comma 1, della stessa legge. Tuttavia, se non c'è l'obbligo di accordo sindacale/autorizzazione dell'ispettorato, allora manca un elemento necessario del reato.
Le imprese, comunque, devono stare molto attente e andarci con i piedi di piombo.
Come dichiara lo stesso Garante, la sua nota del 6 giugno 2024 è solo un documento di natura orientativa, dal quale non discendono nuovi adempimenti o responsabilità: è simile a un parere ed è solo una ricostruzione sistematica con cui si danno indicazioni alle imprese sulla possibilità di trattare i metadati per consentire il corretto funzionamento e il regolare utilizzo del sistema di e-mail, senza necessità di accordi sindacali/autorizzazioni dell'Ispettorato. L'atto del Garante non è prescrittivo, non è vincolante in nessun modo e così il cerino è nelle mani delle imprese: hanno sì spazio di manovra, ma la loro decisione potrebbe essere contestata da sindacati, lavoratori, Garante privacy, procure e magistrati.
Insomma, da subito, l'impresa, senza trattative e adempimenti burocratici, gestisce da sé i log della posta elettronica, ma, ex post, potrebbe essere costretta a difendere la sua scelta, con possibili sanzioni a suo carico. E anche con il rischio che Garante e giudici non decidano allo stesso modo. Tra l'altro c'è da chiedersi come mail i log, che riportano gli stessi contenuti dei campi visibili delle e-mail, sono trattati differentemente dalle e-mail. Inoltre, il problema è che, molto spesso, il fornitore del servizio di e-mail che comanda e il datore di lavoro non può intervenire sulla configurazione dei log, e, nonostante ciò, ne rimane responsabile.
Va sottolineato, infine, che non si sono indicazioni su quanto tempo conservare i contenuti delle e-mail: anche questa è un'enorme questione che le imprese devono, ancora una volta, sbrogliare da sole.
News ripresa da Federprivacy