Non lo nascondo, ci ho messo un po’ a capirlo. Alla fine, l’ho capito così.
Secondo il Garante privacy le aziende non possono mantenere in essere contratti con fornitori di servizi di cloud email se questi contratti prevedono un esteso e non modificabile periodo di conservazione dei metadati (cioè un dato che descrive un altro dato, quindi in questo caso i dati descrittivi di una email: data, orario, mittente, destinatario, oggetto, …). Questo perché la Costituzione sancisce la segretezza della corrispondenza, niente meno.
Quei (meta)dati, infatti, potrebbero consentire ai datori di lavoro di ricercare email sempre e alla bisogna, in violazione della normativa sulla protezione dei dati personali (GDPR) e, a questo punto, della Costituzione. È necessario quindi, scrive il Garante nel suo provvedimento, che il periodo massimo di conservazione sia di sette giorni o, al più in casi particolari, di nove. Tali termini possono essere estesi solo con accordo sindacale o, in assenza, previa autorizzazione dell’Ispettorato nazionale del lavoro (INL).
Ora, mi chiedo: ma se la paventata violazione riguarda addirittura la Costituzione, perché sette giorni sarebbero consentiti? Un po’ come se la mia cassetta delle lettere e la relativa (poca) corrispondenza fosse alla mercé dei miei vicini di casa, che ne so, per un giorno e poi basta. Ma poi, perché il sindacato e l’INL possono derogarvi?
Ah, già. Perché qui si parla di controlli a distanza dell’attività dei lavoratori. Che sono normati dall'art. 4 dello Statuto dei lavoratori (legge 300 del 1970), che dice:
gli impianti audiovisivi o simili da cui deriva un controllo a distanza (che poi sono le videocamere) possono essere installati solo per specifiche finalità (es. tutela del patrimonio aziendale) e previo accordo sindacale o autorizzazione dell’INL (ecco dove l’ha pescato il Garante)
agli strumenti utilizzati dal lavoratore per lavorare (e a quelli di registrazione accessi/presenze) quanto previsto al punto 1 non si applica
le informazioni raccolte, tanto ai sensi del punto 1 quanto del punto 2, possono essere utilizzate per tutti i fini connessi al rapporto di lavoro a condizione che sia data informativa al lavoratore e nel rispetto della normativa privacy
Ma allora perché il Garante dice che i metadati delle email devono avere un termine massimo di conservazione di sette giorni e, soprattutto, aggiunge che il termine è derogabile da accordi sindacali oppure con una autorizzazione dell’INL? Se le email sono, come sono, un strumento di lavoro (punto 2) che c’azzeccano i sindacati e l’Ispettorato? Vuol forse, il Garante, far entrare dalla finestra quanto è uscito dalla porta (con la modifica all’art. 4 dello Statuto del 2015) e dirci che le email sono sì strumenti di lavoro, mentre i relativi metadati sono impianti da cui deriva un controllo a distanza? Ma se così, l’accordo sindacale o l’autorizzazione dell’INL servirebbero addirittura a prescindere e non solo per derogare al termine di conservazione di sette giorni.
Personalmente sposo la tesi per cui il datore di lavoro, se ha necessità di raccogliere informazioni (il testo delle email per il tramite della indicizzazione dei metadati, perché tutto è partito da lì), per un qualsiasi fine connesso al rapporto di lavoro, deve aver fornito ai lavoratori una adeguata informativa circa le modalità d’uso dello strumento di lavoro (le email appunto) e di come potrà essere eseguito il controllo, nonché attenersi alla normativa privacy con le modalità previste dalle proprie policies interne (il famoso principio della accountability) avuto riguardo anche al periodo massimo di conservazione dei metadati (altrettanto famoso principio della data retention).
Credo infatti che la tutela della privacy e in generale dei diritti dei lavoratori la si raggiunga con maggior intensità grazie a iniziative sostanziali ed individuali piuttosto che formali di natura collettiva e/o pubblica.
Ops, il Garante ha appena dato il via libera ad una consultazione pubblica della durata di trenta giorni sulla congruità del termine di conservazione dei metadati delle email e ha deciso, nel frattempo, di differire l’entrata in vigore del suo provvedimento.
Ma, pensarci prima no? Curioso di vedere ora come se ne esce.
Comments