Il Garante per la protezione dei dati personali ha emesso una nuova disposizione che riguarda la gestione della posta elettronica a lavoro: entro sette giorni, tutte le email dei dipendenti dovranno essere cancellate. Questa decisione mira a limitare il controllo eccessivo dei datori sui propri dipendenti, proteggendo così la privacy e la dignità dei lavoratori.
La nuova regola, come indicato nella nota ufficiale, mira a prevenire il trattamento dei dati in modo contrario alle normative sulla protezione dei dati personali e alle leggi che salvaguardano le libertà individuali. In base a queste direttive, le email dei dipendenti non potranno essere conservate per più di una settimana, salvo eccezioni ben motivate che richiederanno l’approvazione sindacale o l’autorizzazione dell’Ispettorato del Lavoro. In caso di violazione, sia penale che amministrativa, sono previste sanzioni che possono arrivare fino al 4% del fatturato per i casi più gravi.
La motivazione del garante della Privacy
Una delle principali preoccupazioni riguarda i metadati presenti nelle email inviate e ricevute. I metadati comprendono informazioni come il giorno e l’ora dell’invio, il mittente, il destinatario e l’oggetto della mail. La conservazione di tali metadati potrebbe consentire o facilitare un controllo indiretto a distanza dell’attività del lavoratore da parte dell’azienda.
Il documento emesso dal Garante, intitolato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, è indirizzato ai datori di lavoro sia pubblici che privati. Esso fornisce linee guida chiare sul trattamento dei metadati e sottolinea l’importanza di rispettare le norme etiche e legali per proteggere la privacy degli utenti.
Il Garante ha individuato programmi e servizi informatici configurati per raccogliere e conservare i metadati dei dipendenti come impostazione predefinita. In alcuni casi, i metadati venivano raccolti e conservati in modo generalizzato, senza possibilità di disabilitarli o ridurre il periodo di conservazione. Ciò ha portato alla necessità per i datori di lavoro di verificare e adattare i propri sistemi di posta elettronica per conformarsi alle nuove normative.
Come mettersi in regola
Per affrontare le nuove disposizioni riguardanti la conservazione dei metadati delle email dei dipendenti, i datori di lavoro devono prendere una serie di misure precauzionali nei confronti di tutti i dipendenti, attivando il percorso per stipulare un accordo sindacale o richiedere un’autorizzazione amministrativa. Il limite della settimana di conservazione si può allungare di sole 48 ore, ma esclusivamente con le seguenti modalità.
In questo caso è necessario attivare il meccanismo previsto dall’articolo 4 dello Statuto dei lavoratori. Questa norma, pur vietando ogni forma di controllo a distanza dei lavoratori, consente l’utilizzo di sistemi che generano un controllo indiretto solo se autorizzato da un accordo sindacale. Tale accordo deve essere stipulato dal datore di lavoro con le rappresentanze sindacali, sia unitarie che aziendali, o, in mancanza di queste, con livelli territoriali o nazionali delle associazioni sindacali. In assenza di accordo sindacale, è possibile richiedere l’autorizzazione all’Ispettorato del lavoro.
Il datore di lavoro, in primo luogo, deve aggiornare l’informativa sulla privacy per i dipendenti, informandoli sui cambiamenti in atto. In secondo luogo, diventa essenziale anche rivedere la politica di conservazione dei dati, assicurandosi che sia in linea con le nuove disposizioni normative.
Metadati, le informazioni su altri dati
Ma cosa sono esattamente i metadati? Si tratta di “informazioni di sottofondo” che forniscono dettagli su altri dati. Queste informazioni non solo facilitano la ricerca e l’organizzazione dei file, ma possono anche essere utilizzati per monitorare le attività online, tracciare le comunicazioni e comprendere i modelli comportamentali degli utenti nel tempo.
Le aziende potrebbero trovare difficile cancellare i metadati entro un lasso di tempo così breve, con il rischio di perdere traccia delle attività svolte dai propri dipendenti e di compromettere l’organizzazione del lavoro. Inoltre, c’è il timore di perdere informazioni importanti che potrebbero essere utili per fini lavorativi.