Il Garante per la protezione dei dati personali ha recentemente emesso un'ordinanza-ingiunzione nei confronti della Regione Lazio (registro dei provvedimenti n. 409 del 1 dicembre 2022), a cui ha comminato una sanzione pecuniaria dell’importo di €100.000 per aver eseguito controlli - in assenza dei necessari presupposti giuridici e misure di garanzia - sulle caselle di posta elettronica del personale dell’avvocatura regionale, acquisendo così i metadati relativi a mittente, oggetto, destinatario delle mail inviate e ricognizione e pesatura di eventuali allegati.
Il Garante afferma che anche nel contesto lavorativo sussiste “una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza”, dal momento che “il contenuto dei messaggi di posta elettronica - come pure i dati esteriori delle comunicazioni e i file allegati - riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente (artt. 2 e 15 Cost.)”.
Pertanto, il controllo indiretto dei lavoratori, derivato dall'acquisizione e della conservazione dei metadati relativi alla loro posta elettronica, è consentito dalla legge solo quando
-
sussistono esigenze organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale, e
-
è stato stabilito da un accordo sindacale o un’autorizzazione pubblica.
L’articolo 4, comma 1, dello Statuto dei lavoratori (l. 300/1970), che richiede il rispetto di queste due condizioni per il trattamento dei dati in ogni contesto lavorativo in ambito nazionale, è infatti una delle disposizioni più specifiche e di maggiore garanzia di cui all’art. 88 del GDPR, che se non osservate qualificano il trattamento dei dati come illecito.
Non rileva, inoltre, che la Regione motivi la raccolta e la conservazione dei dati relativi alla posta elettronica dei dipendenti con la necessità di effettuare controlli ex post finalizzati ad accertare presunte condotte illecite tenute dai dipendenti, dal momento che anche le azioni a tutela del patrimonio datoriale devono sottostare alla disciplina posta dallo Statuto dei lavoratori.
In aggiunta, l’acquisizione generalizzata dei metadati consente al datore di lavoro di venire a conoscenza anche di informazioni sulla vita privata del lavoratore, attinenti alla sua sfera personale e alle sue opinioni, contravvenendo al principio di “responsabilizzazione” sancito dell’articolo 5, paragrafo 1, lettere a) ed e) del GDPR.
Il Garante fa poi presente che la conservazione dei metadati per un periodo di centottanta giorni contrasta con i principi di “limitazione della conservazione dei dati” nonché di “protezione dei dati personali fin dalla progettazione e per impostazione predefinita”, dal momento che, come affermato anche in precedenti pronunce, per intervenire in caso di incidenti di sicurezza è sufficiente che i dati di cui si tratta siano disponibili per periodi molto più limitati, generalmente non superiori ai sette giorni.
Risulta inoltre che la Regione abbia provveduto a redigere una valutazione d’impatto relativa al trattamento in questione solo successivamente all’avvio dell’istruttoria da parte del Garante e non prima - come prescritto dall’articolo 35 GDPR -, nonostante la sussistenza di rischi specifici per i diritti e le libertà degli interessati, dovuti anche alla loro vulnerabilità nel contesto lavorativo.