A seguito di accertamenti effettuati sulla gestione della posta elettronica dei dipendenti, il Garante Privacy ha fornito, tramite un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, nuove indicazioni utili a prevenire trattamenti di dati in contrasto con la disciplina sulla protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori.
I risultati degli accertamenti
Dagli accertamenti effettuati dall’Autorità è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail). In alcuni casi è emerso anche che i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione.
Come i datori di lavoro devono gestire l’e-mail aziendale
Il Garante chiede ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica utilizzata dai dipendenti consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione ad un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore. Periodo considerato congruo per assicurare il regolare funzionamento della posta elettronica aziendale.
I datori di lavoro che per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare (ad esempio, la sicurezza dei sistemi) avessero necessità di trattare i metadati per un periodo di tempo più esteso, dovranno espletare le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’Ispettorato del lavoro).
L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore.
Fonte: Provv. Garante Privacy 21 dicembre 2023