Dal Garante Privacy nuove tutele per la email dei dipendenti

Il Garante per la protezione dei dati personali ha recentemente adottato un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati, avente lo scopo di garantire il lavoratore dal controllo (indiretto) dal parte del datore di lavoro.

In sostanza, il Garante chiede ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione ad un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore. Periodo considerato congruo, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore.

Tale tempistica quindi può essere estesa di 48 ore (9 giorni totali) ma solo per esigenze organizzative, produttive o di tutela del patrimonio anche informativo del titolare e previo accordo sindacale o dietro rilascio di autorizzazione dell’ispettorato del lavoro. In caso di mancanza si configura un controllo (indiretto) a distanza del lavoratore che è vietato dallo Statuto dei Lavoratori (art. 4 L. 300/70) con conseguenze anche penali. Oltre che a rischio di sanzioni in applicazione del GDPR 679/2016 (fino a 4% del fatturato) per trattamento illecito dei dati dei dipendenti.

Ma cosa sono i metadati? Nel mondo digitale, i metadati sono quelle informazioni necessarie a un documento (informatico), affinché sia creato nel modo corretto, potendolo gestire, conservare e rendere accessibile nel tempo. Alcuni esempi di metadati della posta elettronica infatti includono: mittente e destinatario, indicando chi ha inviato il messaggio e a chi è destinato; data e ora, specificando quando il messaggio è stato inviato o ricevuto; indirizzi IP, segnalando l’indirizzo IP del mittente e del server di posta elettronica attraverso cui è stato inviato il messaggio. Cancellare i metadati significa non avere più la disponibilità dell’email.

È palese che tale indirizzo ha ricadute molto pesanti sull’operatività quotidiana delle aziende, soprattutto le medio piccole che magari non hanno un'organizzazione proceduralizzata del flusso delle informazioni.  È inoltre poco chiaro come un datore di lavoro possa agire sul fornitore del servizio email (Microsoft, Google….) per modificare le impostazioni sui metadati.

A seguito delle numerose richieste di chiarimento il Garante ha deciso di differire l’efficacia del documento di indirizzo e promuovere una consultazione pubblica di 30 giorni sulle forme e modalità di utilizzo che renderebbero necessaria una conservazione dei metadati superiore a quella ipotizzata nel documento di indirizzo (ATTENZIONE: la consultazione non ha lo scopo di annullare le linee di indirizzo, ma solo di valutare l’eventuale estensione dei tempi di conservazione ovvero i metadati dovranno comunque essere cancellati e, si presuppone, in tempi comunque molto brevi).

Problema rimandato di 30 giorni quindi, ma è opportuno che i datori di lavoro che ancora non lo
hanno fatto, inizino a ragionare in ottica accountability, nel rispetto del GDPR 679/2016 (in vigore dal 2016!!), definendo una policy di gestione delle email aziendali.



Link al documento del Garante Privacy:

https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9978728