Gentile Cliente,
il Garante per la protezione dei dati personali (GDPR) il 21/12/2023 ha adottato il provvedimento n. 642 “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento metadati” quale indirizzo per i datori di lavoro pubblici e privati sulla conservazione dei metadati.
I metadati sono delle informazioni relative alla posta elettronica che hanno lo scopo di migliorare la visibilità, la ricerca e l’accesso ai dati; sono elementi indispensabili per catalogare le e-mail dei dipendenti: il giorno, l’ora, il mittente, il destinatario, l’oggetto e la dimensione degli allegati.
La posta elettronica è lo strumento che forse più di qualsiasi altro crea molti problemi legati al trattamento dei dati sul posto di lavoro.
Per questo motivo, il GDPR a Marzo 2007 ha pubblicato le linee guida in tema di utilizzo della posta elettronica nel luogo di lavoro, fornendo alcune soluzioni utili per contemperare le esigenze dell’attività lavorativa con la prevenzione di intrusioni nella sfera personale dei lavoratori, tra le quali:
- rendere disponibili indirizzi condivisi tra più lavoratori (info@azienda.it; amministrazione@ azienda.it; sicurezza@azenda.it; risorseumane@azienda.it), riportando così chiara la natura non privata della corrispondenza (l’impiego del nome e del cognome dell’utilizzatore nell’indirizzo mail potrebbe creare confusione circa la natura della mail stessa).
- valutare la possibilità di attribuire al lavoratore un altro indirizzo (oltre quello di lavoro), destinato ad un uso personale;
- prevedere, in caso di assenza del lavoratore, messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi;
- assicurare la necessaria trasparenza nei confronti dei lavoratori fornendo agli stessi una specifica informativa prima di dare inizio al trattamento (ciò costituisce una specifica precondizione per il lecito utilizzo dei dati raccolti attraverso strumenti tecnologici da parte del datore di lavoro).
Il provvedimento oggetto della presente comunicazione, rivolge la sua attenzione a quegli indirizzi di posta elettronica definiti dal GDPR “personali”.
Il provvedimento nasce a seguito di accertamenti effettuati dal GDPR dai quali è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare, per impostazione predefinita, i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti.
Con il suddetto provvedimento il GDPR chiede ai datori di lavoro di verificare, con la collaborazione dei propri tecnici informatici, che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione ad un massimo di 7 giorni, periodo considerato congruo sotto il profilo prettamente tecnico per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore.
L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può infatti comportare un indiretto controllo a distanza dell’attività de lavoratore.
Qualora, per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare (in particolare per la sicurezza dei sistemi), il datore di lavoro avesse la necessità di trattare i metadati per un periodo di tempo più esteso, dovrà espletare le procedure di garanzia previste dallo statuto dei lavoratori – accordo sindacale o autorizzazione dell’ispettorato del lavoro.
Lo staff Siqur Next rimane a completa disposizione per qualsiasi chiarimento.
