E-mail dei dipendenti: le nuove regole del Garante della privacy

Le nuove linee guida del Garante della privacy sono intervenute sul tema della conservazione dei metadati delle mail dei dipendenti. In merito, è stato varato il documento di indirizzo titolato Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati.

Le disposizioni introdotte mirano a prevenire che la gestione dei dati delle mail dei lavoratori pubblici e privati sia in contrasto con la normativa sulla protezione dei dati e le norme di tutela della dignità e libertà dei lavoratori.

In particolare, vengono fissati dei termini restrittivi sui tempi di conservazione dei metadati delle mail – quali mittente, destinatario, data, ora, oggetto, dimensione – posizionati su cloud esterni. 

Analizziamo brevemente il contenuto del documento per comprendere cosa cambierà e quali disposizione dovranno essere adottate dai datori di lavoro per rispettare la protezione dei dati dei propri dipendenti. 

Trattamento metadati mail: cosa cambia

Il documento del Garante della privacy arriva dopo una serie di controlli effettuati dall’Autorità. È venuto fuori che alcuni software di gestione delle mail sono impostati, in modo predefinito, per raccogliere e conservare i metadati della posta elettronica dei lavoratori dipendenti. 

I metadati sono delle informazioni in più che vengono associate ai messaggi di posta elettronica: permettono di inviare correttamente i messaggi, gestire lo SPAM, verificare la presenza di eventuali problemi tecnici di ricezione. 

Si tratta per esempio di:

• ora e data di invio;
• indirizzo mail del mittente;
• dimensioni;
• oggetto. 

LEGGI ANCHE Diritto alla Privacy: cos’è e quando si considera violata?

Vuoi una consulenza legale sull'argomento? Chiedi Gratis ad un Avvocato

• +3000 avvocati pronti ad ascoltarti
• Consulenza Legale Online - Telefonica, in webcam, scritta o semplice preventivo gratuito
• Anonimato e Riservatezza - La tua consulenza verrà letta solo dall'avvocato che accetterà di rispondere

Richiedi una Consulenza

Conservazione metadati non superiore a 7 giorni

Quello che è emerso è che, in alcuni casi, i dipendenti non avevano la possibilità di disabilitare la raccolta sistematica di metadati, cosa che invece dovrà essere sempre disponibile. 

Il Garante della privacy ha infatti imposto ai datori di lavoro:

• di verificare la presenza, tra le impostazioni di base, della possibilità di impedire la raccolta di metadati;
• di limitare il periodo di conservazione a un massimo di 7 giorni, che potranno essere estesi di ulteriori altre 48 ore, ma solo in caso di comprovate esigenze. 

Si legge infatti nel documento che il periodo di conservazione dei metadati:

non può essere superiore di norma a poche ore o ad alcuni giorni, in ogni caso non oltre 7 giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore.

Questa novità può rappresentare un problema di gestione non indifferente per le aziende, che dovranno adesso cancellare in un lasso di tempo piuttosto breve i dati sulle attività compiute dai dipendenti, con eventuali ripercussioni dirette in caso di controversie legali. 

LEGGI ANCHE Eliminazione cookie di terze parti: la privacy è al sicuro?

Protezione dei dati personali: gli obblighi del datore di lavoro

Nei fatti, il contenuto dei messaggi di una mail, che può comprendere anche i file allegati, è protetto da garanzie di segretezza che sono tutelate anche dalla stessa Costituzione, attraverso le quali viene protetta la dignità della persona e il pieno sviluppo della sua personalità nei contesti sociali. 

Di conseguenza, ci si aspetta che anche in ambito lavorativo, pubblico e privato, si applichi la protezione dei dati personali delle mail dei lavoratori. Spetta al datore di lavoro il compito di verificare il sussistere dei presupposti di liceità in relazione al trattamento dei dati personali dei lavoratori. 

Dovranno essere rispettate altresì le disposizioni che vietano al datore di lavoro di acquisire e trattare informazioni non rilevanti per valutare le attitudini professionali del lavoratore, o comunque quelle relative alla sua sfera privata.

Il datore di lavoro dovrà inoltre appurare, in base al principio di responsabilizzazione, che le tecnologie impiegate per il trattamento dei dati dei lavoratori non rappresentino un rischio per i loro diritti e libertà. 

Potrebbe interessarti anche Responsabilità del datore di lavoro per danni al lavoratore: guida aggiornata

I rischi per i datori di lavoro

Abbiamo detto che l’impiego di programmi di gestione della posta elettronica che raccolgono e conservano metadati per un periodo di tempo superiore a 7 giorni è in contrapposizione con la normativa in materia di protezione dei dati personali. In questo caso, il datore di lavoro starebbe commettendo un trattamento illecito degli stessi. 

Nell’ipotesi in cui i datori di lavoro dovessero conservare i metadati delle mail dei dipendenti per un periodo di tempo più lungo rispetto a quello fissato, potrebbero subire le sanzioni amministrative e penali previste nel caso di trattamento illecito dei dati personali. 

Coloro i quali, però, per motivi legati alla produzione e all’organizzazione aziendale, oppure di tutela del patrimonio informativo del titolare, avessero necessità di conservare i dati per un periodo di tempo più prolungato, dovrebbero fare riferimento a un accordo sindacale o all’autorizzazione dell’Ispettorato del lavoro – in base a quanto previsto dall’articolo 4 dello Statuto dei lavoratori.

Il prolungamento dei tempi di conservazione dei dati dovrebbe avvenire in modo proporzionato rispetto alle finalità del trattamento. In caso contrario, si rischia di violare il principio di limitazione della conservazione. 

Tuttavia, l’estensione di tale periodo potrebbe avere come effetto indiretto il controllo a distanza dell’attività del lavoratore, che nei fatti è vietato.

Potrebbe interessarti anche Ho ricevuto una raccomandata dall’Ispettorato del lavoro: cosa devo fare?

Protezione dei dati: le misure da attuare

Sulla base di quanto stabilito dal documento del Garante della privacy, i datori di lavoro dovranno adottare alcune misure al fine di conformare il trattamento dei dati alla normativa in vigore, per non rischiare di incorrere in responsabilità civili e penali. 

Dovranno quindi avere la certezza che i programmi di gestione delle mail utilizzati dai propri dipendenti consentano di modificare le impostazioni di base in relazione alla raccolta dei metadati. Questa disposizione dovrà ovviamente essere rispettata anche da chi produce i servizi e le applicazioni per gestire la posta elettronica. 

Ai dipendenti, poi, dovrà essere presentata, prima di dare inizio al trattamento, una informativa specifica sul trattamento dei dati personali, considerando anche il fatto che i dipendenti hanno diritto a una adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli.

Per quanto riguarda, invece, l’utilizzo di servizi basati sul cloud, si fa riferimento a quanto indicato nel report Coordinated Enforcement Action Use of cloud-based services by the public sector del Comitato europeo per la protezione dei dati. Vi sono indicate le misure tecniche e organizzative necessarie ad assicurare il rispetto del regolamento in base alla quali i fornitori di servizi cloud dovranno trattare i dati personali solo per conto dei rispettivi titolari.

Vuoi una consulenza legale sull'argomento? Chiedi Gratis ad un Avvocato

• +3000 avvocati pronti ad ascoltarti
• Consulenza Legale Online - Telefonica, in webcam, scritta o semplice preventivo gratuito
• Anonimato e Riservatezza - La tua consulenza verrà letta solo dall'avvocato che accetterà di rispondere

Richiedi una Consulenza