Con il documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” il Garante per la Protezione dei Dati Personali il (“Garante”) è tornato ad occuparsi del trattamento dei dati dei dipendenti, questa volta concentrandosi su un aspetto spesso sottovaluto, la conservazione dei metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti.
1. Garanzie per la protezione della corrispondenza dei dipendenti
Come più volte chiarito dal Garante, tanto il contenuto dei messaggi di posta elettronica, quanto i dati esteriori delle comunicazioni e i file allegati, sono forme di corrispondenza tutelate anche costituzionalmente, nello specifico dagli articoli 2 e 15. Ciò comporta che, anche nel contesto lavorativo, sussista una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza.
La raccolta e l'archiviazione automatica della posta elettronica dei dipendenti è soggetta, in linea di principio, alle disposizioni sul controllo a distanza delle attività dei lavoratori da parte del datore di lavoro regolato dall'articolo 4 dello Statuto dei Lavoratori, che prevede la possibilità di utilizzare apparecchiature audiovisive e altri strumenti di controllo a distanza esclusivamente per:
· esigenze organizzative e produttive
· sicurezza del lavoro e
· tutela del patrimonio aziendale.
A tal fine, è necessario (i) sottoscrivere un accordo collettivo con le rappresentanze sindacali, o in mancanza di accordo, (ii) previa autorizzazione da parte della sede territoriale dell'Ispettorato del Lavoro.
La regola generale di cui sopra non si applica agli strumenti utilizzati dal lavoratore per lo svolgimento delle proprie mansioni; in questo caso non è necessaria la preventiva autorizzazione all'utilizzo delle informazioni e dei dati raccolti per tutte le finalità relative al rapporto di lavoro, a condizione che al lavoratore sia data adeguata informazione degli strumenti utilizzati.
2. Archiviazione dei metadati
Partendo dal presupposto che gli strumenti di gestione della posta elettronica utilizzati dai dipendenti possono raccogliere di default, in modo automatico e generalizzato, metadati relativi all'utilizzo delle caselle di posta elettronica (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell'e-mail), ci si chiede se tale attività di trattamento rientri tra le eccezioni alla procedura di autorizzazione.
Secondo il documento di indirizzo in parola, ciò dipende dal periodo di conservazione di tali informazioni. La procedura autorizzativa non è necessaria se il datore di lavoro archivia i metadati per non più di 7 giorni, prorogabili, in presenza di comprovate e documentate esigenze che ne giustifichino l'estensione, di ulteriori 48 ore. Se ciò non è possibile e il datore di lavoro ha bisogno di conservare i dati per un periodo più lungo, è necessario seguire le procedure di autorizzazione prevista dal primo comma dell'articolo 4 dello Statuto dei Lavoratori.
3. Conseguenze per il datore di lavoro
Il datore di lavoro ha due alternative:
(i) conservare i metadati per un periodo di tempo che non superi i 9 giorni complessivi, per il quale non si applica la procedura autorizzativa;
(ii) richiedere l'accordo sindacale o l'autorizzazione dell'ispettorato del lavoro nel caso in cui sia necessario raccogliere i metadati per un periodo di tempo più lungo.
Oltre tali limiti, il datore di lavoratore si esporrebbe al rischio di effettuare un trattamento illecito di dati personali.
Tale condotta potrebbe altresì costituire una violazione (i) del principio di limitazione della conservazione non risultando i tempi di conservazione dei metadati proporzionati rispetto alle finalità perseguite, del principio di privacy by design e by default, nonché (iii) del principio di responsabilizzazione.
4. Raccomandazioni del Garante
Il Garante ricorda che il titolare del trattamento, anche quando utilizza prodotti o servizi di terzi, deve impartire le necessarie istruzioni al fornitore del servizio affinché sia assicurata la conformità ai principi applicabili al trattamento dei dati. In tale prospettiva, l’autorità suggerisce ai datori di lavoro di verificare che i software di gestione della posta elettronica messi a disposizione dei dipendenti consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di nove giorni.
_840x420.jpg?v=3)
I cookie dei social media raccolgono informazioni sulla condivisione, da parte tua, di contenuti presenti sul nostro sito web, tramite i social media, o analytics per analizzare la tua navigazione tra i vari strumenti presenti sui sociali media o tra le nostre campagne sui social media e i nostri siti web. In questo modo ottimizziamo il mix di canali tramite il quale forniamo i nostri contenuti. I dettagli relativi agli strumenti in uso sono riportati nella nostra privacy policy.