Menu
La raccolta dei metadati relativi all’utilizzo della posta elettronica.
Nell’ambito di accertamenti condotti dal Garante della Protezione dei dati personali, con riguardo ai trattamenti di dati personali effettuati nel contesto lavorativo è emerso il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere, per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti, conservando gli stessi per un esteso arco temporale; ciò talvolta ponendo, altresì, limitazioni al cliente (datore di lavoro) in ordine alla possibilità di modificare le impostazioni di base del programma informatico al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi.
Garante privacy: documento di indirizzo del 21 dicembre 2023, n. 642, doc. web n. 9978728.
Nel quadro dei compiti volti a promuovere la consapevolezza e la comprensione del pubblico, dei titolari e dei responsabili del trattamento riguardo a norme, obblighi, rischi, garanzie e diritti stabiliti dal Regolamento anche mediante documenti di indirizzo (art. 57, par. 1, lett. b) e d), del Regolamento art. 154-bis, comma 1, lett. a), del D.Lgs. 30.06.2003, n. 196), il Garante ha adottato in via preliminare un documento di indirizzo intitolato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” allo scopo di richiamare l’attenzione su taluni punti di intersezione tra la disciplina di protezione dei dati e le norme che stabiliscono le condizioni per l’impiego degli strumenti tecnologici nei luoghi di lavoro.
Il testo è raggiungibile al seguente indirizzo: https://www.garanteprivacy.it/garante/doc.jsp?ID=9978728
Consultazione pubblica.
Considerate le richieste di chiarimenti pervenute da più stakeholders, il Garante ha avviato una consultazione pubblica in merito alla congruità, in relazione alle finalità perseguite dai datori di lavori pubblici e privati, del termine di conservazione dei metadati (di seguito, anche “log”) generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica, sospendendo l’efficacia del predetto documento di indirizzo.
Il testo dell’avviso pubblico di avvio della consultazione sul termine di conservazione dei metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica, pubblicato sulla Gazzetta Ufficiale n. 64 del 16 marzo 2024, è raggiungibile al seguente indirizzo: https://www.garanteprivacy.it/garante/doc.jsp?ID=9988018
Garante privacy: provvedimento del 6 giugno 2024.
Esaminate le osservazioni e le proposte pervenute nell’ambito della predetta consultazione pubblica, il Garante privacy ha ritenuto di apportare specifiche modifiche e integrazioni al predetto documento di indirizzo, nella prospettiva di agevolare, altresì, la comprensione dell’ambito dei trattamenti presi in considerazione e delle indicazioni fornite al fine di promuovere la consapevolezza delle scelte tecniche e organizzative dei datori di lavoro, in qualità di titolari del trattamento, nonché di prevenire iniziative e trattamenti di dati in contrasto con la disciplina in materia di protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori;
Il Garante ha, inoltre, ritenuto di fornire indicazioni anche in merito ai criteri che possano orientare le scelte dei datori di lavoro nell’individuazione dell’eventuale periodo di conservazione dei predetti log, ai fini dell’applicazione dell’eccezione contenuta nell’art. 4, comma 2, della l. 20 maggio 1970, n. 300 rispetto alla regola di cui al comma 1, per assicurare il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica, comprese le essenziali garanzie di sicurezza informatica;
Il testo della versione aggiornata del Documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” è disponibile al seguente indirizzo: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10026277
Nel documento di indirizzo si legge che esso “non reca prescrizioni né introduce nuovi adempimenti a carico dei titolari del trattamento ma intende offrire una ricostruzione sistematica delle disposizioni applicabili in tale specifico ambito, alla luce di talune precedenti decisioni dell’Autorità, al solo fine di richiamare l’attenzione su alcuni punti di intersezione tra la disciplina di protezione dei dati e le norme che stabiliscono le condizioni per l’impiego degli strumenti tecnologici nei luoghi di lavoro.“
Attraverso di esso, tuttavia, il Garante intende altresì fornire ai datori di lavoro indicazioni in ordine alla possibilità di trattare tali informazioni per consentire il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica, comprese le essenziali garanzie di sicurezza informatica, senza necessità di attivare la procedura di garanzia prevista dall’art. 4, comma 1, l. 20/5/1970, n. 300, espressamente richiamata dall’art. 114 del Codice privacy.
“metadati di posta elettronica” o “log di posta elettronica”.
I metadati cui fa riferimento il documento di indirizzo adottato dal Garante corrispondono tecnicamente alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client (le postazioni terminali che effettuano l’invio dei messaggi e che consentono la consultazione della corrispondenza in entrata accedendo ai mailbox elettroniche, definite negli standard tecnici quali MUA – Mail User Agent).
Tali informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto.
I metadati cui si riferisce il Garante (sia quelli di origine prettamente tecnica sia quelli, come il campo “Oggetto”, determinati dagli utenti) presentano la caratteristica di essere registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utilizzatore.
I metadati in questione non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate – ancorché talvolta non immediatamente visibili agli utenti dei software “client” di posta elettronica (i cosiddetti MUA – Mail User Agent) – a formare il cosiddetto envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici. Le informazioni contenute nell’envelope, ancorché corrispondenti a metadati registrati automaticamente nei log dei servizi di posta, sono inscindibili dal messaggio di cui fanno parte integrante e che rimane sotto l’esclusivo controllo dell’utente (sia esso il mittente o il destinatario dei messaggi).
Pertanto, le indicazioni contenute nel documento del Garante, relativamente ai tempi di conservazione dei metadati come sopra definiti non riguardano i contenuti dei messaggi di posta elettronica (né le informazioni tecniche che ne fanno comunque parte integrante) che rimangono nella disponibilità dell’utente/lavoratore, all’interno della casella di posta elettronica attribuitagli.
La posta elettronica quale attività di trattamento di dati personali.
Come costantemente affermato dal Garante, il contenuto dei messaggi di posta elettronica – come pure i dati esteriori delle comunicazioni e i file allegati – riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente (artt. 2 e 15 Cost.), che proteggono il nucleo essenziale della dignità della persona e il pieno sviluppo della sua personalità nelle formazioni sociali.
Ciò comporta che, anche nel contesto lavorativo pubblico e privato, sussista una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza (v. punto 5.2 lett. b), delle “Linee guida del Garante per posta elettronica e Internet” del 1° marzo 2007, n. 13, doc. web n. 1387522; cfr., tra i tanti, provv. 4 dicembre 2019, n. 216, doc. web n. 9215890 e i precedenti in esso citati).
Considerato che l’impiego dei predetti programmi e servizi informatici dà luogo a “trattamenti” di dati personali, riferiti a “interessati”, identificati o identificabili (art. 4, par. 1, nn. 1) e 2), del Regolamento UE 2016/679 “RGPD”) nel contesto lavorativo, è necessario che il datore di lavoro, in quanto titolare del trattamento, verifichi la sussistenza di un idoneo presupposto di liceità (cfr. artt. 5, par. 1, lett. a), e 6 del Regolamento UE 2016/679 “RGPD”) prima di effettuare trattamenti di dati personali dei lavoratori attraverso tali programmi e servizi, rispettando le condizioni per il lecito impiego di strumenti tecnologici nel contesto lavorativo (art. 88, par. 2, del Regolamento).
Il titolare del trattamento è inoltre tenuto a rispettare i principi generali del trattamento (artt. 5, 24 e 25 del RGPD) e a porre in essere tutti gli adempimenti previsti dalle disposizioni normative in materia di protezione dei dati personali (v. artt. 12, 13, 14, 30, 32 e 35 del Regolamento), anche con riguardo alla necessità di fornire agli interessati in modo corretto e trasparente una chiara rappresentazione del complessivo trattamento effettuato, consentendo agli stessi di disporre di tutti gli elementi informativi essenziali previsti dal Regolamento e di essere pienamente consapevole, prima che il trattamento abbia inizio, delle caratteristiche dello stesso (cfr. sentenza della Corte Europea dei Diritti dell’Uomo del 5 settembre 2017 – Ricorso n. 61496/08 – Causa Barbulescu c. Romania, spec. par. n. 133 e 140).
Inoltre, in attuazione del principio di “responsabilizzazione” (cfr. art. 5, par. 2, e 24 del Regolamento), spetta al titolare valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche – in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalità perseguite – che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali (cfr. cons. 90 e artt. 35 e 36 del RGPD).
La disciplina in materia di controlli a distanza del lavoratore.
L’art. 4, comma 1, l. 20 maggio 1970, n. 300, come modificato dal d.lgs. 14 settembre 2015, n. 151 (c.d. Statuto dei Lavoratori), individua tassativamente le finalità (ovvero quelle organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale) per le quali gli strumenti, dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere impiegati nel contesto lavorativo, stabilendo precise garanzie procedurali (accordo sindacale o autorizzazione pubblica).
Le predette garanzie non trovano invece applicazione “agli strumenti di registrazione degli accessi e delle presenze”, così come “agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” (art. 4, comma 2, l. n. 300/1970). Tale disposizione introduce un’eccezione, rispetto al più restrittivo regime previsto dal comma 1, e deve, pertanto, essere oggetto di stretta interpretazione, considerate le responsabilità anche sul piano penale che possono derivare dalla violazione del predetto quadro normativo.
Per scelta espressa del legislatore, solo gli strumenti preordinati, anche in ragione delle caratteristiche tecniche di configurazione, alla “registrazione degli accessi e delle presenze” e allo “svolgimento della prestazione” non soggiacciono quindi ai limiti e alle garanzie di cui al primo comma, in quanto funzionali a consentire l’assolvimento degli obblighi che discendono direttamente dal contratto di lavoro, vale a dire, la presenza in servizio e l’esecuzione della prestazione lavorativa.
Alla luce delle disposizioni richiamate, affinché sia ritenuto applicabile il comma 2 dell’art. 4 della L. n. 300/1970, l’attività di raccolta e conservazione dei soli metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione, si ritiene che possa essere effettuata, di norma, per un periodo limitato a pochi giorni; a titolo orientativo, tale conservazione non dovrebbe comunque superare i 21 giorni. Sempre nell’ambito della predetta finalità (assicurare il funzionamento delle infrastrutture del sistema della posta elettronica), a cui risulta applicabile il comma 2 dell’art. 4 della L. n. 300/1970, l’eventuale conservazione per un termine ancora più ampio potrà essere effettuata, solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente, in applicazione del principio di accountability previsto dall’art. 5, par. 2, del Regolamento, le specificità della realtà tecnica e organizzativa del titolare. Spetta in ogni caso al titolare adottare tutte le misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati.
Diversamente, la generalizzata raccolta e la conservazione dei log di posta elettronica, per un lasso di tempo più esteso, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta L. n. 300/1970 (v., da ultimo, provv. 1° dicembre 2022, n. 409, doc. web n. 9833530). Resta fermo che anche tale conservazione dovrà avvenire nel rispetto del principio di limitazione della conservazione (v. successivo punto 4.2).
La registrazione dei metadati è conforme allo Statuto dei Lavoratori.
Il Garante precisa, in primo luogo, che il ricorso a sistemi e soluzioni di gestione e conservazione dei log delle comunicazioni elettroniche (come definiti più sopra nel documento) può considerarsi rientrante nell’eccezione di cui al comma 2 dell’art. 4, L. n. 300/1970 nella misura in cui:
– i medesimi siano necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione;
– la conservazione non dovrebbe comunque superare i 21 giorni. L’eventuale conservazione per un termine ancora più ampio potrà essere effettuata, solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente, in applicazione del principio di accountability previsto dall’art. 5, par. 2, del Regolamento, le specificità della realtà tecnica e organizzativa del titolare;
– spetta in ogni caso al titolare adottare tutte le misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati.
Diversamente, la generalizzata raccolta e la conservazione dei log di posta elettronica, per un lasso di tempo più esteso, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta L. n. 300/1970 (v., da ultimo, provv. 1° dicembre 2022, n. 409, doc. web n. 9833530).
La raccolta dei dati personali dei lavoratori per altre finalità.
Altri profili di illiceità possono poi derivare dall’utilizzo ulteriore dei dati personali, raccolti in assenza delle predette garanzie. Ciò in quanto l’art. 4, comma 3, della L. n. 300/1970 consente di utilizzare, per le finalità connesse alla gestione del rapporto di lavoro, solo le informazioni già lecitamente raccolte nel rispetto delle condizioni e dei limiti previsti dai commi 1 e 2 e, dunque, nei limiti in cui l’originaria raccolta sia stata lecitamente effettuata nonché fornendo una “adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli” nel rispetto di quanto disposto dalla disciplina di protezione dei dati personali (cfr. provv.ti 28 ottobre 2021, n. 384, doc. web n. 9722661, e 13 maggio 2021, n. 190, doc. web n. 9669974).
Inoltre, dagli elementi ricavabili dai dati esteriori della corrispondenza, come l’oggetto, il mittente e il destinatario e altre informazioni che accompagnano i dati in transito, definendone profili temporali (come la data e l’ora di invio/ricezione), nonché dagli aspetti quali-quantitativi anche in ordine ai destinatari e alla frequenza di contatto (in quanto anche questi dati sono, a propria volta, suscettibili di aggregazione, elaborazione e di controllo), è possibile acquisire informazioni riferite alla sfera personale o alle opinioni dell’interessato.
Sotto tale profilo, si ricorda che, fin dal 1970, al datore di lavoro pubblico e privato è fatto divieto di “effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore” (v. art. 8 della L. n. 300/1970 e art. 10 del d.lgs. 10 settembre 2003, n. 276, richiamati espressamente dall’art. 113 del Codice privacy).
La generalizzata raccolta e la conservazione dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti, per un periodo di tempo esteso, in assenza di idonei presupposti giuridici, può, dunque comportare la possibilità per il datore di lavoro di acquisire, informazioni riferite alla sfera personale o alle opinioni dell’interessato e quindi non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore.
COME COMPORTARSI
Privacy by design & privacy by default
Il datore di lavoro deve, anzitutto, adottare misure volte ad assicurare il rispetto dei principi della protezione dei dati fin dalla progettazione del trattamento e per impostazione predefinita (art. 25 del Regolamento) durante l’intero ciclo di vita dei dati, “incorporan[d]o nel trattamento le misure e le garanzie adeguate ad assicurare l’efficacia dei principi di protezione dei dati, dei diritti e delle libertà degli interessati” e facendo in modo che “[venga] effettuato per impostazione predefinita solo il trattamento strettamente necessario per conseguire la specifica e lecita finalità”, anche con riguardo al periodo di conservazione dei dati, “in tutte le fasi della progettazione delle attività di trattamento, compresi gli appalti, le gare di appalto, l’esternalizzazione, lo sviluppo, il supporto, la manutenzione, il collaudo, la conservazione, la cancellazione ecc.” (“Linee guida 4/2019 sull’articolo 25 – Protezione dei dati fin dalla progettazione e per impostazione predefinita”, adottate dal Comitato europeo per la protezione dei dati il 20 ottobre 2020)
Come recentemente messo in evidenza dal Garante, il titolare del trattamento, anche quando utilizza prodotti o servizi realizzati da terzi, deve verificare, anche avvalendosi del supporto del Responsabile della protezione dei dati, ove designato, la conformità ai principi applicabili al trattamento dei dati (art. 5 del Regolamento) adottando, nel rispetto del principio di responsabilizzazione, le opportune misure tecniche e organizzative e impartendo le necessarie istruzioni al fornitore del servizio (cfr. artt. 5, par. 2, 24, 25 e 32 del Regolamento; cfr., con riguardo a specifici trattamenti in ambito lavorativo, provv.ti 28 ottobre 2021, n. 384, doc. web n. 9722661, e 10 giugno 2021, n. 235, doc. web n. 9685922; ma v. anche provv. 17 dicembre 2020, n. 282, doc. web n. 9525337). Il titolare del trattamento deve quindi accertare che siano disattivate le funzioni che non sono compatibili con le proprie finalità del trattamento o che si pongono in contrasto con specifiche norme di settore previste dall’ordinamento ad esempio commisurando adeguatamente anche i tempi di conservazione dei dati ovvero chiedendo al fornitore del servizio di anonimizzare i metadati raccolti nei casi in cui non si intenda effettuare una conservazione più prolungata degli stessi.
Conseguentemente, spetta al titolare del trattamento verificare che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service – consentano al cliente (datore di lavoro) di rispettare la disciplina di protezione dei dati nei termini indicati nel presente documento di indirizzo, anche con riguardo al periodo di conservazione dei metadati (21 giorni).
Il nostro metodo di lavoro richiede di selezionare accuratamente e raccogliere le sole informazioni necessarie a valutare se una fattispecie rientri o meno nel campo di applicazione di una norma determinata. Spesso ricorriamo alla tecnologia (e-mail, questionari e formulari online) per consentire agli operatori di organizzare al meglio il proprio tempo.
Pensiamo noi a predisporre documenti e modulistica personalizzati e “fruibili” da ciascun cliente.
Quando tutto è pronto, formiamo il personale affinché sia consapevole degli strumenti che abbiamo fornito, ne abbia compreso l’esigenza sottostante e sia in grado di utilizzarli nel contesto delle attività quotidiane.
In attuazione del principio di “responsabilizzazione” (cfr. art. 5, par. 2, e 24 del RGPD), spetta al titolare valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche – in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalità perseguite – che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali (cfr. cons. 90 e artt. 35 e 36 del RGPD).
Tenuto conto delle indicazioni fornite anche a livello europeo sul punto, tale necessità ricorre, in particolare, in caso di raccolta e memorizzazione dei log della posta elettronica, stante la particolare “vulnerabilità” degli interessati nel contesto lavorativo, nonché il rischio di “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti” (Gruppo di lavoro art. 29, “Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento”, WP 248 del 4 aprile 2017; cfr. cons. 75 e artt. 35 e 88, par. 2, del Regolamento; v. anche provv. 11 ottobre 2018, n. 467, doc. web n. 9058979, all. n. 1; v., tra gli altri, provv. 13 maggio 2021, n. 190, doc. web n. 9669974, par. 3.5).
Assistiamo il cliente nella conduzione della Valutazione d’impatto e, ove ciò si rendesse necessario, nella consultazione preventiva del Garante per la Protezione dei dati personali.
Un corretto approccio alla gestione dei rapporti con i fornitori dell’Ente, richiede di non fermarsi al mero aspetto formale della sussistenza di un documento di “designazione” del responsabile del trattamento ma, piuttosto, impone di analizzare i rapporti con il fornitore stesso per capire quale ruolo operativo egli assuma a seguito dell’affidamento del servizio e, conseguentemente, come vadano ripartiti i compiti e le responsabilità, anche dal punto di vista del trattamento dei dati personali.
La registrazione dei metadati/log richiede di prestare la massima attenzione, soprattutto in relazione a quelle registrazioni che non avvengano direttamente ad opera del titolare ma, piuttosto, ad opera di responsabili e sub-responsabili del trattamento.
L’art. 30 del RGPD prevede tra gli adempimenti principali del titolare e del responsabile del trattamento la tenuta del registro delle attività di trattamento.
E’ un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del RGPD) relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento.
Costituisce uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività.
Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
Il RGPD prevede che, in base alle finalità del trattamento, il titolare debba fornire agli interessati, prima del trattamento stesso, le informazioni richieste dalle norme (art. 13 e 14 del RGPD). Ciò avviene tramite l’informativa.
L’informativa è una comunicazione rivolta all’interessato che ha lo scopo di rendere edotto il cittadino, anche prima che diventi interessato (cioè prima che inizi il trattamento), sulle finalità e le modalità dei trattamenti operati dal titolare del trattamento, Essa è condizione, non tanto del rispetto del diritto individuale ad essere informato, quanto del dovere del titolare del trattamento di assicurare la trasparenza e correttezza dei trattamenti fin dalla fase di progettazione dei trattamenti stessi, e di essere in grado di comprovarlo in qualunque momento (principio di accountability).
L’informativa ha anche lo scopo di permettere che l’interessato possa rendere un valido consenso, se richiesto come base giuridica del trattamento. In questo caso l’informativa non è solo dovuta in base al principio di trasparenza e correttezza, ma è anche una condizione di legittimità del trattamento.
L’art. 4, comma 3, della Legge n. 300/1970 consente di utilizzare, per le finalità connesse alla gestione del rapporto di lavoro, solo le informazioni già lecitamente raccolte nel rispetto delle condizioni e dei limiti previsti dai commi 1 e 2 e, dunque, nei limiti in cui l’originaria raccolta sia stata lecitamente effettuata nonché fornendo una “adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli” nel rispetto di quanto disposto dalla disciplina di protezione dei dati personali.
Inoltre, dagli elementi ricavabili dai dati esteriori della corrispondenza, come l’oggetto, il mittente e il destinatario e altre informazioni che accompagnano i dati in transito, definendone profili temporali (come la data e l’ora di invio/ricezione), nonché dagli aspetti quali-quantitativi anche in ordine ai destinatari e alla frequenza di contatto (in quanto anche questi dati sono, a propria volta, suscettibili di aggregazione, elaborazione e di controllo), è possibile acquisire informazioni riferite alla sfera personale o alle opinioni dell’interessato.
Si rende, quindi, necessario, verificare che la raccolta e la conservazione dei log avvengano nel rispetto dei principi di correttezza e trasparenza nei confronti dei lavoratori e che i lavoratori siano stati adeguatamente informati sul trattamento dei dati personali relativi alle comunicazioni elettroniche che li riguardano (cfr. artt. 5, par. 1, lett. a), 12, 13 e 14 del RGPD).
A questo proposito è essenziale che gli interessati siano resi pienamente consapevoli delle complessive caratteristiche del trattamento (specificando i tempi di conservazione dei dati, gli eventuali controlli, ecc.).