I datori di lavoro non potranno conservare i metadati delle mail aziendali, come giorno, ora, mittente, destinatario, oggetto e dimensione, per più di 7 giorni. A fissare le scadenze a tutela della privacy dei dipendenti è il Garante per la protezione dei dati personali che ha fissato le nuove regole per le aziende sulla gestione della posta elettronica tramite programmi anche in modalità cloud.
Il documento
Le disposizioni sono state stabilite dall’Autorità nel documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” destinato ai datori di lavoro pubblici e privati, pubblicato il 21 dicembre scorso, ma reso noto nella newsletter del 6 febbraio.
Il provvedimento adotta dei principi utili alle aziende per prevenire trattamenti delle informazioni dei dipendenti che possano entrare in contrasto con la disciplina sulla protezione dei dati e con le norme che tutelano la libertà e la dignità dei lavoratori.
Secondo quanto previsto dalle regole previste dal Garante della privacy, coloro che abbiano la necessità di disporre dei metadati sulle email inviate e ricevute dal proprio personale, oltre il limite di una settimana, per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare (in particolare, ad esempio, per specifiche esigenze di sicurezza dei sistemi), sono chiamati a trovare un’intesa con le sigle sindacali o chiedere autorizzazione all’ispettorato del lavoro: la conservazione prolungata di queste informazioni oltre il periodo stabilito potrebbe risultare come “indiretto controllo a distanza” dell’attività del dipendente.
Le disposizioni
Come spiega lo stesso Garante, “il documento nasce a seguito di accertamenti effettuati dall’Autorità dai quali è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail)”.
Attraverso la propria indagine l’Autorità ha rivelato come in diversi casi gli stessi sistemi di gestione della posta elettronica non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione.
Il documento di indirizzo mira dunque a sollecitare i datori di lavoro nella verifica che i programmi e i servizi informatici di gestione delle email aziendali (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base per impedire questa divergenza rispetto alle norme sulla raccolta delle informazioni personali dei dipendenti (qui avevamo parlato delle contestazioni del Garante su ChatGpt rivolte ad OpenAI).
Le nuove regole prevedono che i metadati possano essere custoditi per un periodo di 7 giorni, con una proroga, in presenza di comprovate esigenze, fino a un massimo di 9.
Intervallo, secondo quanto ritenuto dal Garante, “considerato congruo, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore” (qui la guida di QuiFinanza sulle regole della privacy nei luoghi di lavoro secondo quanto stabilito dal regolamento europeo GDPR).