Mail dei dipendenti: nuove tutele dal Garante della PrivacyDagli accertamenti effettuati è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica (anche in modalità cloud) sono configurati in modo da raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail); per queste ragioni il Garante per la protezione dei dati personali ha ritenuto opportuno adottare un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati. A darne notizia è lo stesso Garante nella newsletter n. 517 del 6 febbraio 2024 nella quale si legge anche che, in alcuni casi, è emerso ‹‹che i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione››.Secondo il Garante, grazie alla pubblicazione del documento, ‹‹i datori di lavoro pubblici e privati che per la gestione della posta elettronica utilizzano programmi forniti anche in modalità cloud da oggi hanno a disposizione nuove indicazioni utili a prevenire trattamenti di dati in contrasto con la disciplina sulla protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori››.I datori di lavoro dovranno quindi procedere alla verifica dei programmi e dei servizi informatici di gestione della posta elettronica in uso ai dipendenti (soprattutto in caso di prodotti di mercato forniti in cloud o as-a-service) al fine di appurare che consentano la modifica delle impostazioni di base. Così potranno impedire la raccolta dei metadati o limitare il loro periodo di conservazione ad un massimo di 7 giorni; termine che, solo in presenza di comprovate esigenze, potrà essere prolungato di ulteriori 48 ore. Questo lasso di tempo è considerato congruo, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore.Il Garante specifica, inoltre, che ‹‹i datori di lavoro che per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare (in particolare, ad esempio, per specifiche esigenze di sicurezza dei sistemi) avessero necessità di trattare i metadati per un periodo di tempo più esteso, dovranno espletare le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro). L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore››.
di M. Davide Sartori