Garante Privacy, gestione email nel contesto lavorativo

Il Garante per la protezione dei dati personali ha adottato un Documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati.

Il documento, spiega il Garante nella newsletter del 6 febbraio 2024, da indicazioni ai datori di lavoro pubblici e privati per la gestione della posta elettronica attraverso programmi, forniti anche in modalità cloud, utili a prevenire trattamenti di dati in contrasto con la disciplina sulla protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori.

Con il documento, prosegue il Garante, si chiede quindi ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione ad un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore.

I datori di lavoro che per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare (in particolare, ad esempio, per specifiche esigenze di sicurezza dei sistemi) avessero necessità di trattare i metadati per un periodo di tempo più esteso, dovranno espletare le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro).

L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore.

Il documento tratta i seguenti aspetti:

  1. Introduzione
  2. La normativa in materia di protezione dei dati personali
  3. La disciplina di settore in materia di controlli a distanza
  4. Le possibili responsabilità per i datori di lavoro pubblici e privati
    • 4.1 Illiceità del trattamento
    • 4.2 Violazione del principio di limitazione della conservazione
    • 4.3 Violazione dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita, e di responsabilizzazione
  5. Le iniziative da porre in essere per assicurare il rispetto della normativa in materia di protezione dei dati e la disciplina di settore in materia di controlli a distanza

Aggiornamento

Per rispondere alle numerose richieste di chiarimenti ricevute, Il Garante ha deciso di differire l’efficacia del documento di indirizzo e promuovere una consultazione pubblica di 30 giorni sulle forme e modalità di utilizzo che renderebbero necessaria una conservazione dei metadati superiore a quella ipotizzata nel documento di indirizzo.


Garante privacy – Provvedimento del 21 dicembre 2023

Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati

Torna in alto