Email aziendali: nuove tutele per i dipendenti, limitata la conservazione dei metadati senza autorizzazione

I datori di lavoro che utilizzano programmi forniti anche in modalità cloud per la gestione della posta elettronica dovranno seguire nuove disposizioni.

Dal Garante della Privacy, infatti, arrivano le nuove linee guida per prevenire il trattamento dei dati in contrasto con la disciplina sulla protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori.

I datori di lavoro sono tenuti a verificare che i programmi e i servizi informatici di gestione della posta elettronica consentano di modificare le impostazioni di base, così da impedire la raccolta dei metadati o limitando il loro periodo di conservazione ad un massimo di 7 giorni (estendibili di 48 ore).

Per periodi di conservazione più lunghi è necessario l’accordo sindacale o l’autorizzazione dell’Ispettorato del lavoro.

La Ministra del Lavoro ha dichiarato che si sta lavorando per una soluzione semplificata, così che le aziende possano adempiere agli obblighi senza troppe complicazioni.

Email aziendali: nuove tutele per i dipendenti, limitata la conservazione dei metadati senza autorizzazione

Il Garante per la protezione dei dati personali ha pubblicato le nuove linee guida da seguire per quanto riguarda la gestione della posta elettronica nel contesto lavorativo e, in particolare, il trattamento dei metadati.

Come sottolineato nel provvedimento datato 21 dicembre 2023 e pubblicato il 6 febbraio 2024, la gestione dei messaggi di posta elettronica dei lavoratori e delle lavoratrici con modalità cloud può raccogliere in modo preventivo e generalizzato i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti, come ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail, e conservarli per troppo tempo.

Le indicazioni rivolte ai datori di lavoro, dunque, si pongono l’obiettivo di gestire tale rischio per la privacy di lavoratori e lavoratrici.

Nello specifico, il Garante chiede di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso consentano l’opzione di modificare le impostazioni di base, in modo tale da impedire la raccolta dei metadati o comunque limitarla a un periodo circoscritto.

Il provvedimento, infatti, ribadisce che il contenuto dei messaggi di posta elettronica, così come i dati esteriori delle comunicazioni e i file allegati, sono forme di corrispondenza assistite da garanzie di segretezza, tutelate anche costituzionalmente.

Pertanto, anche nel contesto lavorativo pubblico e privato, si ritrova una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza.

“Considerato che l’impiego dei predetti programmi e servizi informatici dà luogo a “trattamenti” di dati personali, riferiti a “interessati”, identificati o identificabili nel contesto lavorativo, è necessario che il datore di lavoro, in quanto titolare del trattamento, verifichi la sussistenza di un idoneo presupposto di liceità prima di effettuare trattamenti di dati personali dei lavoratori attraverso tali programmi e servizi, rispettando le condizioni per il lecito impiego di strumenti tecnologici nel contesto lavorativo.”

Si tratta dei presupposti indicati all’articolo 4 dello Statuto dei Lavoratori, la legge n. 300/1970.

Come indicato nella norma, i datori di lavoro possono utilizzare gli impianti audiovisivi e gli altri strumenti dai quali può derivare anche la possibilità di controllo a distanza senza alcun accordo sindacale o l’autorizzazione dell’Ispettorato del Lavoro solo nel caso in cui siano necessari alla registrazione degli accessi e delle presenze oppure per lo svolgimento della prestazione.

La conservazione dei metadati necessari non può superare i 7 giorni. Per periodi maggiore serve autorizzazione

Come sottolineato dal Garante, la raccolta e la conservazione dei metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica non può essere superiore di norma a poche ore o ad alcuni giorni e in ogni caso non può superare i 7 giorni (i quali possono essere estesi di ulteriori 48 ore per comprovate esigenze).

La raccolta e la conservazione generalizzata di tali metadati per un lasso di tempo più esteso può comportare un controllo indiretto a distanza dell’attività dei lavoratori e pertanto necessita dell’apposita autorizzazione.

Di conseguenza, i datori di lavoro che per esigenze organizzative e produttive o di tutela del patrimonio (ad esempio per specifiche esigenze di sicurezza dei sistemi) avessero bisogno di trattare i metadati per un periodo di tempo più esteso dovranno seguire le procedure di garanzia previste dallo Statuto dei lavoratori e cioè:

• stipulare un accordo sindacale;
• ottenere l’autorizzazione dell’Ispettorato del lavoro.

In ogni caso, i datori di lavoro devono assicurare la necessaria trasparenza nei confronti dei lavoratori, fornendo loro una specifica informativa sul trattamento dei dati personali.

Per tutti i dettagli si rimanda al testo integrale del provvedimento.

Garante per la protezione dei dati personali - Provvedimento del 21 dicembre 2023

Documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”

Come riportato dal Sole24Ore, la Ministra del Lavoro, Marina Calderone, intervenuta a margine del Welfare & Hr summit il 15 febbraio ha dichiarato che si sta lavorando all’individuazione di una soluzione semplificata:

“Sulla questione delle e-mail aziendali, dopo la presa di posizione del Garante privacy che permette la loro conservazione al massimo per sette giorni, stiamo cercando di individuare una corsia semplificata con l’Ispettorato del Lavoro. Dobbiamo fare in modo che le aziende possano adempiere agli obblighi senza troppe complicazioni.”