Illecito il controllo dei metadati delle e-mail dei dipendenti

di Luigi Degan

Recentemente, a dicembre 2022, il Garante privacy ha sanzionato un datore di lavoro, la Regione Lazio, per aver trattato i metadati contenuti nella posta elettronica dei dipendenti.

I metadati sono dei dati ulteriori, ossia che vanno al di là del dato palese, come a esempio il peso degli allegati, informazioni sulla formattazione o sulla codifica del messaggio e altro.

Questi metadati sono in grado di fornire diverse informazioni, dal contesto delle informazioni (ad esempio, per le immagini il contesto è riferibile alle coordinate geografiche dove l’immagine è stata creata), fino al collegamento con altre informazioni.

Nel caso specifico i metadati trattati erano quelli – contenuti nei messaggi di posta elettronica – relativi a orari, destinatari, oggetto delle comunicazioni, peso degli allegati.

Il datore di lavoro aveva effettuato questo trattamento per tutelare il patrimonio aziendale in quanto sospettava che fossero state rivelate a terzi delle informazioni protette dal segreto d’ufficio. Ma il caso nasce dalla segnalazione di un sindacato che aveva lamentato che il datore di lavoro avesse realizzato un monitoraggio sulla posta elettronica del personale.

Il sospetto è stato confermato dalle indagini del Garante che ha accertato che il datore di lavoro aveva potuto effettuare il monitoraggio del personale e, in particolare, dei dipendenti che inviavano messaggi a uno specifico sindacato.

Ma come ha fatto il datore a compiere questi atti?

Ha utilizzato i dati conservati – per 180 giorni – per generiche finalità di sicurezza informatica, ma tale comportamento è evidentemente illegittimo in quanto mancavano idonei presupposti giuridici: se conservo i dati per finalità di sicurezza non posso usarli per altre finalità.

No al controllo dei metadati della posta elettronica dei dipendenti senza adeguate tutele per la riservatezza e in violazione delle norme che limitano il controllo a distanza dei lavoratori.

Il Garante ha chiarito che la generalizzata raccolta e l’estesa conservazione dei metadati della posta elettronica – che in quanto forma di corrispondenza è tutelata dalla Costituzione – non sono strumentali allo “svolgimento della prestazione” del dipendente, ai sensi dello Statuto dei lavoratori. In questi casi, ossia quando i mezzi di lavoro non sono strumentali allo svolgimento della prestazione lavorativa, il datore deve avviare le specifiche procedure di garanzia (accordo sindacale o ottenere autorizzazione dalla ITL competente per territorio). Il trattamento di dati personali posto in essere ha, tra l’altro, consentito al datore di lavoro di entrare in possesso di informazioni relative anche alla sfera privata dei dipendenti, a partire dalle loro opinioni, contatti e fatti non attinenti all’attività lavorativa.

La questione si è chiusa con una sanzione amministrativa di 100.000 euro, e il divieto di ogni ulteriore operazione di trattamento dei metadati relativi all’utilizzo della posta elettronica dei lavoratori e la cancellazione di quelli illecitamente raccolti.

 

Redazionali, News