Il Garante per la protezione dei dati personali ha adottato un Documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati.
Il documento, spiega il Garante nella newsletter del 6 febbraio 2024, da indicazioni ai datori di lavoro pubblici e privati per la gestione della posta elettronica attraverso programmi, forniti anche in modalità cloud, utili a prevenire trattamenti di dati in contrasto con la disciplina sulla protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori.
Con il documento, prosegue il Garante, si chiede quindi ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione ad un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore.
I datori di lavoro che per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare (in particolare, ad esempio, per specifiche esigenze di sicurezza dei sistemi) avessero necessità di trattare i metadati per un periodo di tempo più esteso, dovranno espletare le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro).
L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore.
Il documento tratta i seguenti aspetti:
- Introduzione
- La normativa in materia di protezione dei dati personali
- La disciplina di settore in materia di controlli a distanza
- Le possibili responsabilità per i datori di lavoro pubblici e privati
- 4.1 Illiceità del trattamento
- 4.2 Violazione del principio di limitazione della conservazione
- 4.3 Violazione dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita, e di responsabilizzazione
- Le iniziative da porre in essere per assicurare il rispetto della normativa in materia di protezione dei dati e la disciplina di settore in materia di controlli a distanza
Aggiornamento
Per rispondere alle numerose richieste di chiarimenti ricevute, Il Garante ha deciso di differire l’efficacia del documento di indirizzo e promuovere una consultazione pubblica di 30 giorni sulle forme e modalità di utilizzo che renderebbero necessaria una conservazione dei metadati superiore a quella ipotizzata nel documento di indirizzo.
Garante privacy – Provvedimento del 21 dicembre 2023
Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati