E-mail dei dipendenti: nuove linee guida del Garante sulla conservazione dei metadati
Con un documento di indirizzo del 21 dicembre 2023 denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, il Garante Privacy ha fornito a tutti i datori di lavoro (pubblici e privati) che usano per la gestione della posta elettronica programmi forniti anche in modalità cloud o as-a-service, “nuove indicazioni utili a prevenire trattamenti di dati in contrasto con la disciplina sulla protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori”.
Il documento segue alcuni accertamenti condotti dal Garante con riguardo a trattamenti di dati personali effettuati nel contesto lavorativo dai quali è emerso il rischio che programmi e servizi informatici per la gestione della posta elettronica in modalità cloud possano raccogliere, per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email), conservando gli stessi per un esteso arco temporale; ciò talvolta ponendo, altresì, limitazioni al datore di lavoro in ordine alla possibilità di modificare le impostazioni di base del programma informatico al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi.
Per tale ragione, il Garante richiede ora “ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base, impedendo la raccolta dei predetti metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di sette giorni, estensibile di ulteriori 48 ore”.
Nel caso in cui i trattamenti di dati personali in questione si dovessero comunque rendere necessari per il perseguimento di esigenze organizzative o produttive, i datori di lavoro dovranno ricorrere alle procedure previste da Statuto del lavoratore (e quindi sottoscrivere un accordo sindacale o ottenere l’autorizzazione dell’Ispettorato del lavoro).
Infine, con riferimento all’utilizzo di servizi basati sul cloud, il Garante richiama quanto indicato nel report “2022 Coordinated Enforcement Action Use of cloud-based services by the public sector” del Comitato europeo per la protezione dei dati del 17 gennaio 2023 (reperibile alla pagina web https://edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-use-cloud-based-services-public_en), che reca indicazioni sulle misure tecniche e organizzative necessarie ad assicurare il rispetto del Regolamento in tale contesto, garantendo, in particolare, che i fornitori dei servizi cloud trattino i dati personali solo per conto dei rispettivi titolari e sulla base delle istruzioni da questi ricevute.
I datori di lavoro sono quindi oggi tenuti ad aggiornare le informative di privacy e le policy di conservazione dei dati, effettuare una valutazione di impatto sui diritti fondamentali per continuare il trattamento dei dati nonché compiere un’analisi di bilanciamento degli interessi.
Si tratta di un provvedimento che, con evidenza, ha un impatto significativo sulle scelte dei datori di lavoro (e dei loro fornitori di servizi cloud). Si consideri infatti che la raccolta e la conservazione integrale delle email dei dipendenti viene effettuata anche per finalità di gestione delle attività aziendali (si pensi, solo a titolo esemplificativo, che frequentemente gli accordi commerciali vengono conclusi proprio tramite scambio di email) e hanno una rilevanza significativa per le imprese anche in termini probatori.
Considerando tale impatto, al momento è consigliabile attendere l’emanazione di provvedimenti ministeriali che chiariscano come le aziende debbano adeguarsi. Il ministro del lavoro Marina Calderone, interpellata su questo nuovo documento del Garante, ha rassicurato affermando che il ministero sta collaborando con l'ispettorato nazionale del lavoro per individuare una corsia semplificata per dare alle aziende la possibilità di adempiere agli obblighi senza troppe complicazioni.
Stay tuned.