Periodo di riferimento: aprile 2024 – giugno 2024

1. Premessa

Nel periodo di riferimento considerato non risultano adottati dal Garante per la protezione dei dati personali (di seguito, “Garante”) provvedimenti di carattere generale.

Tuttavia, si ritiene di dover dar conto delle modifiche al Documento di indirizzo “Programmi e servizi di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (di seguito, “documento di indirizzo”), pubblicato dal Garante il 6 giugno scorso con provvedimento n. 364.

 

Tale documento, già oggetto di un preliminare esame in questa rubrica, in quanto candidato a inserirsi tra gli esempi di ricorso da parte del Garante alla «funzione provvedimentale per fini normativi»[1] per le ragioni già ampiamente argomentate, è stato modificato all’esito della procedura di consultazione.

Tuttavia, prima di procedere all’analisi delle principali novità introdotte, merita di essere qui citata – seppure in un ambito completamente diverso - la recente pubblicazione (9 maggio 2024) da parte del Garante dello schema di “Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica ai sensi degli artt. 2-quater e 106 del Codice del d. lgs. 196/2003 (Codice Privacy)”[2]. Questo perché le regole deontologiche, che hanno sostituito nella nomenclatura i vecchi Codici di Condotta, ne hanno conservato la natura di “fonte normativa atipica”[3]. Dal momento che esse recano regole rilevanti per stabilire se un trattamento di dati personali è lecito o meno, meritano almeno una menzione in questa rubrica dedicata all’analisi degli atti normativi binding.

Per ragioni di spazio, in proposito, ci si limiterà a precisare il contesto nel quale è intervenuto lo schema di regole deontologiche, atteso che lo stesso è stato sottoposto a consultazione pubblica per almeno sessanta giorni, in ossequio all’art. 2 quater del Codice Privacy. In estrema sintesi, a seguito della recente riforma dell’art. 110 del Codice Privacy, il Garante ha individuato le prime garanzie da adottare per il trattamento dei dati personali a scopo di ricerca medica, biomedica ed epidemiologica, riferiti a pazienti deceduti o non contattabili. Le modifiche del legislatore al Codice Privacy hanno previsto che chi effettua attività di ricerca medica - quando risulta impossibile informare gli interessati o l’obbligo implica uno sforzo sproporzionato, oppure rischia di pregiudicare gravemente i risultati dello studio - non deve più sottoporre il progetto di ricerca e la relativa valutazione di impatto alla consultazione preventiva, essendo sufficiente rispettare le specifiche garanzie previste dal Garante. Tra queste si annoverano l’acquisizione del parere favorevole del competente Comitato etico a livello territoriale sul progetto di ricerca e la redazione e pubblicazione di una valutazione di impatto, di cui dare comunicazione al Garante.

2. Il nuovo documento di indirizzo

Il Garante, dopo la sospensione dell’efficacia del documento di indirizzo adottato lo scorso 21 dicembre[4], con il provvedimento n. 364 del 6 giugno ha sciolto la riserva e ha pubblicato il nuovo testo.

L’Autorità di controllo si era proposta di fare chiarezza sui trattamenti effettuati nel contesto lavorativo attraverso programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud. I trattamenti posti sotto la lente del Garante riguardavano precisamente la raccolta, per impostazione di default, preventiva e generalizzata di metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti, conservati per un esteso arco temporale.

La raccolta di metadati connessa all’utilizzo della posta elettronica è stata ritenuta riconducibile all’uso di strumenti preordinati alla registrazione degli accessi e allo svolgimento della prestazione che non richiedono le garanzie procedurali previste dall’art. 4, co. 1 dello Statuto dei lavoratori (accordo sindacale e autorizzazione dell’Ispettorato), in quanto “funzionali” – a detta del Garante – all’assolvimento degli obblighi che discendono direttamente dal contratto di lavoro.

Il 22 febbraio scorso, è stata avviata su questo documento – con evidente ritardo - la consultazione pubblica, che, tuttavia, non ha offerto al pubblico la possibilità di “consultare” i documenti pervenuti al Garante, quindi, non ci è dato sapere se le modifiche “recepite” dal Garante siano state espressamente richieste dai soggetti interessati (datori di lavoro, esperti in materia di protezione dei dati personali, ecc.) che vi hanno preso parte, né quali siano state le contestazioni mosse al precedente testo.

In questo spazio, esamineremo le principali novità che il documento finale ha introdotto[5].

Per prima cosa è stata chiarita la definizione, precedentemente ambigua, di metadati, che da “metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica” è divenuta comprensiva delle “informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client (le postazioni terminali che effettuano l’invio dei messaggi e che consentono la consultazione della corrispondenza in entrata accedendo ai mailbox elettroniche, definite negli standard tecnici quali MUA – Mail User Agent)”. Con questa precisazione sono state escluse dalla definizione le informazioni contenute nei messaggi di posta o anche in essi integrate e che rimangono nella disponibilità dell’utente/lavoratore, all’interno della casella di posta elettronica attribuitagli.

In secondo luogo, è stato precisato che il documento non contiene prescrizioni per il Titolare (datore di lavoro) e ribadito che spetta a lui, in attuazione del principio di responsabilizzazione (cd. “accountability”), valutare se i trattamenti possano presentare rischi elevati per i diritti e le libertà dei lavoratori, al fine di redigere una preventiva valutazione di impatto.

Infine, il termine di 7 giorni è stato sostituito da 21 giorni, quasi a voler significare che è stata condotta una sorta di trattativa, ovviamente con i soli soggetti interessati che vi hanno preso parte.

3. I nodi irrisolti e i nuovi limiti del modello notice and comment

Il nuovo documento di indirizzo seppure ridimensionato sotto alcuni profili non ha sciolto i nodi principali che esso stesso ha posto.

Al di là delle modifiche intervenute, resta fermo che il Garante ha ritenuto ex se l’applicabilità dell’eccezione di cui all’art. 4, co. 2 dello Statuto dei lavoratori a un tempo predefinito (di 7 o 21 giorni, poco importa) di conservazione dei metadati, in assenza di qualsiasi prescrizione legislativa a riguardo.

Inoltre, continua a non essere chiaro perché dopo 21 giorni l’utilizzo dei metadati possa «comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta legge n. 300/1970» e non prima o molto dopo.

Non può ritenersi superato dall’estensione dei precedenti 7 a 21 giorni il tema dell’accountability, che pure il Garante ha invocato a più riprese nel provvedimento e che – in astratto - porrebbe in capo al Titolare la scelta delle misure tecniche e organizzative e la responsabilità generale di definire il tempo che ritiene più rispondente al principio di limitazione della conservazione. Il Garante ha preferito dire al Titolare che è sua (del Titolare) responsabilità definire il termine e contestualmente avvertirlo della possibile illiceità di un trattamento di durata superiore[6], sotto la minaccia delle sanzioni amministrative pecuniarie (art. 83, par. 5, lett. d)) e dell’insorgenza di responsabilità penali (art. 171 del Codice Privacy).

E allora che il Garante dica o taccia, e se vuole dire che indirizzi, come vorrebbe la natura di soft law del suo provvedimento, e che indirizzi chiaramente e non per “dire a nuora perché suocera intenda”.

E con questo si vuole dire che se si è consapevoli che i datori di lavoro non hanno la possibilità concreta di modificare le impostazioni di base dei sistemi di raccolta dei metadati perché sono i produttori di servizi e delle applicazioni (leggasi Microsoft, Google, ecc.) a controllarli, che il Garante si rivolga a loro - o meglio - che intervenga con gli strumenti coercitivi e sanzionatori che ha nei confronti di questa ben più limitata platea di soggetti forti.

Sembra che il provvedimento sia già nato - e rivisto - dopo l’avvenuta cattura dell’Autorità da parte di quei gruppi forti.

 

[1] Seppure con riferimento alle autorizzazioni generali del Garante: G. De Minico, Regole, comando e consenso, Giappichelli, Torino, 2004, p. 44 ss.; M. Capparoni, Note sulle autorizzazioni generali al trattamento di dati particolari emanate dal Garante per la protezione dei dati personali, in Dir. Soc., 2000, p. 425.

[2] Registro dei provvedimenti del Garante per la protezione dei dati personali n. 298 del 9 maggio 2024.

[3] Sull’emersione di questo nuovo paradigma normativo si rimanda a A.R. Popoli, I codici di condotta e certificazioni, in G. Finocchiaro (a cura di), Il Nuovo Regolamento Europeo sulla privacy e sulla protezione dei dati personali, Zanichelli editore, Bologna, 2021, p. 378 e ss. Sul tema dei codici deontologici, in generale, prima delle novità introdotte dal Regolamento Europeo 2016/679 si rimanda a G. De Minico, Regole, comando e consenso, Giappichelli, Torino, 2004, p. 150 ss.; A. Simoncini, I codici deontologici di protezione dei dati personali nel sistema delle fonti. l’emersione di un nuovo «paradigma» normativo?, in Osservatorio sulle fonti, 1999, p. 277-298;

[4] Registro dei provvedimenti del Garante per la protezione dei dati personali n. 642 del 21 dicembre 2023.

[5] Per le questioni sulla natura del provvedimento di carattere squisitamente giuridico si rimanda al precedente lavoro qui pubblicato.

[6] Si ritiene che la raccolta possa essere effettuata, di norma, per un periodo limitato a pochi giorni; a titolo orientativo, tale conservazione non dovrebbe comunque superare i 21 giorni”.