Garante della privacy ed email: chiarimenti a riguardo
L'editoriale di Eufranio Massi
Con una nota del 27 febbraio u.s., il Garante per la Privacy, a fronte delle numerose richieste di chiarimento prevenute da operatori pubblici e privati, nonché da Associazioni ed ordini professionali, ha sospeso l’operatività della Direttiva emanata sulla gestione della posta elettronica nel contesto lavorativo, aprendo incontri finalizzati a dipanare alcune grosse questioni che creano forti difficoltà di gestione. Sono previsti una serie di incontri in un arco temporale di 30 giorni; se il Documento non subirà cambiamenti (cosa, assolutamente, non auspicabile), la piena operatività dello stesso ripartirà trascorsi altri 60 giorni.
L’apertura agli incontri sembra precludere alla nascita di un nuovo provvedimento. In tale prospettiva sarebbe auspicabile ipotizzare una soluzione che passi attraverso il comma 2 dell’art. 4 della legge n. 300/1970, considerando le email aziendali come “strumenti di lavoro” non soggetti ad alcuna autorizzazione amministrativa o accordo sindacale. Rispetto a queste, il datore di lavoro è tenuto a fornire un’adeguata informazione ed una serie di altri adempimenti.
Authority per la privacy
Un documento di indirizzo del Garante, varato nell’antivigilia d Natale del 2023 e reso noto con una nota del 6 febbraio u.s., il cui titolo è “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei dati”, rischia di mandare in tilt milioni di datori di lavoro pubblici e privati (non dimentichiamo che nel nostro Paese la gran parte delle aziende e degli studi professionali ha un organico inferiore alle quindici unità). In mancanza di adeguamenti dovranno bloccare dopo sette giorni la raccolta dei c.d. “metadati” contenuti nelle email aziendali. Questi ultimi, all’interno degli archivi digitali, rappresentano le informazioni delle quali occorre dotare il documento informatico ai fini della sua corretta formazione, gestione e conservazione nel tempo. Il documento (digitale) viene memorizzato virtualmente per essere reso accessibile in tempi successivi.
Il Garante
Il Garante, partendo da constatazioni effettuate nei confronti di alcune aziende o Enti, afferma che il proprio intervento concerne esclusivamente i metadati e la loro conservazione, per un periodo pressoché illimitato, sugli account di posta elettronica aziendale utilizzati dal personale. Pensiamo al dipendente come, ad esempio, il mittente ed il destinatario, il giorno e l’ora dell’invio e l’oggetto. Dall’analisi emerge che la gestione della posta elettronica raccoglie i metadati per un tempo indefinito senza la possibilità di modificare le impostazioni del programma.
Per il Garante questo processo viola i diritti dei dipendenti relativamente alla loro posta e comporta, una forma di controllo da parte dei propri datori di lavoro, in contrasto con gli articoli 113 e 114 del D.L.vo n. 196/2003, con aperta violazione dell’art. 4 della legge n. 300/1970.
Le aziende, grandi e piccole ed anche quelle mini, nonché le Pubbliche Amministrazioni e gli Enti pubblici economici, si trovano di fronte ad un’impossibilità di operare perché la cancellazione dei metadati rischia di cancellare anche la memoria dell’attività svolta dal personale (a meno che non si pensi di tornare indietro alle comunicazioni cartacee, alla faccia di tutti gli sforzi che sono stati fatti e si fanno per limitare l’uso della carta!).
A mio avviso, e per quel che può contare il parere di uno che vede le cose dall’esterno, l’approccio del Garante appare del tutto anacronistico. Basti pensare ai contenziosi presenti e futuri in materia di lavoro o anche commerciali (mobbing, mansioni e differenze retributive, provvedimenti disciplinari, licenziamenti, ecc.).
Doveri in merito
Alla luce di tale provvedimento i datori di lavoro dovranno:
- Aggiornare l’informativa sulla privacy per tutti i lavoratori;
- Valutare l’impatto sui diritti fondamentali;
- Effettuare un test di bilanciamento;
- Rivedere tutte le modalità di conservazione dei dati, (cosa che, secondo il Garante, vale anche per il passato).
Il Garante suggerisce di ovviare attraverso la strada indicata dall’art. 4, comma 1, dello Statuto dei Lavoratori:
- Accordo con la rappresentanza sindacale interna (RSA o RSU);
- Autorizzazione dell’Ispettorato territoriale del Lavoro.
Chi ha un minimo di conoscenza delle realtà aziendali del nostro Paese sa perfettamente che nella stragrande maggioranza delle aziende non è costituita alcuna rappresentanza sindacale, quindi sarà giocoforza, rivolgersi alla struttura periferica dell’Ispettorato Nazionale, competente per territorio il quale, presumibilmente, sarà “invaso” da migliaia di richieste (se si considera anche la presenza delle imprese prive di accordi con sindacato). Si pensi anche a quelle imprese che hanno sede in più Province: dovranno ripetere le pratiche nei diversi ambiti presso i quali sono ubicate le loro unità produttive, a meno che non ne presentino una unica presso la sede centrale dell’Agenzia ispettiva.
Tutto questo in un momento in cui a tale organo, che ha competenza (ma non solo) sulla sicurezza in materia di lavoro, sul lavoro nero, sulla lotta al caporalato ed alle altre forme illegali di destrutturazione del lavoro, si chiede di un numero sempre maggiore di accessi ispettivi mirati.
Accordo sindacale
Per quel che riguarda, invece, l’accordo sindacale, ciò sarà possibile, unicamente, se nelle aziende è presente la RSA o la RSU e non è detto che a tale accordo si giunga velocemente, come ben si può vedere conoscendo le dinamiche sindacali e la politica del “do ut des” che spesso le governa.
Vale la pena di sottolineare come, tale decisione del Garante che sembra avere effetti dirompenti sulla organizzazione delle imprese, sia stata presa senza aver minimamente consultato l’Ispettorato Nazionale del Lavoro che, pure, sarà chiamato ad operare e ad autorizzare le imprese a soprassedere alla cancellazione.
Qui si pone, a mio avviso, un altro problema non secondario: quello dei criteri in base ai quali l’Ispettorato del Lavoro dovrà decidere e, anche, la validità temporale della eventuale autorizzazione. C’è il rischio, infatti, che, in mancanza di indirizzi elastici che non vadano a comprimere la vita delle aziende, l’approccio di quest’ultimo sia abbastanza rigido, atteso che, al momento, il Garante non ha suggerito una possibile via di uscita.
Che dire?
È giusto, nell’era digitale, tutelare la riservatezza dei dati personali ma il controllo, non può spingersi fino a tornare alla lettera raccomandata o al fax: questo, in un mondo globale, si chiama autolesionismo.
Bologna, 4 marzo 2024
Eufranio MASSI
Partecipa al nostro webinar “La Gestione Proattiva delle Risorse Umane”
CLICCA QUI PER ISCRIVERTI AL WEBINAR
Autore
Rispondi
Solo registrati possono commentare.
1 Commenti
Domenico Tarantino
Marzo 10, 17:36Condivido appieno il Suo editoriale: il provvedimento del Garante è un atto assurdo e alquanto schizofrenico di una burocrazia malata di protagonismo, profondamente ignorante del mondo produttivo e lavorativo e vessatoria nei confronti dei cittadini – sudditi sarebbe il caso di dire – a qualsiasi categoria essi appartengano !
A mio avviso, l’attuale Garante dovrebbe essere immediatamente sostituito e la composizione dell’organismo includere anche figure tecniche che moderino l’illogica quanto anacronistica promulgazione di provvedimenti come quello in argomento.