Email di lavoro dei dipendenti: i datori devono cancellare i metadati entro 7 giorni. Questa la nuova previsione del Garante, che ha adottato uno specifico documento di indirizzo sul tema.
Email di lavoro: nuove tutele per i dipendenti
Il Garante per la protezione dei dati personali ha adottato, il 21 Dicembre 2023, un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”. Tale documento si rivolge ai datori di lavoro sia pubblici che privati e nasce a seguito di molteplici accertamenti effettuati dall’Autorità. In particolare gli accertamenti eseguiti nel corso degli ultimi due anni hanno portato i Garante a individuare come particolarmente problematica la gestione dei metadati delle email di lavoro.
Sotto la lente di ingrandimento i servizi di posta elettronica
Il Garante ha deciso di adottare questo documento di indirizzo dopo aver accertato che
“alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti”.
Tra questi dati:
- giorno;
- ora;
- mittente;
- destinatario;
- oggetto;
- dimensione dell’email.
Non solo: alcune piattaforme non consentono neppure, ai datori di lavori, di disabilitare la raccolta di tali dati così come di ridurre il periodo di conservazione degli stessi.
Per ampliare lo sguardo > Garante privacy: la difesa in giudizio non giustifica l’accesso alla posta elettronica del lavoratore
Le indicazioni del Garante: cosa dovranno fare i datori di lavoro
Il provvedimento 21 Dicembre 2023 esplicita chiaramente lo scopo del documento di indirizzo
“volto a fornire talune indicazioni ai datori di lavoro pubblici e privati e agli altri soggetti a vario titolo coinvolti, al fine di promuovere la consapevolezza delle scelte, anche organizzative, dei titolari del trattamento, nonché a prevenire iniziative e trattamenti di dati in contrasto con la disciplina in materia di protezione dei dati e le norme che tutelano la liberà e la dignità dei lavoratori”.
Per saperne di più > GDPR e email aziendale: il Garante sanziona un’azienda per aver inibito l’accesso all’account email ad una collaboratrice esterna
In concreto tutti i datori di lavoro dovranno:
- verificare che gli strumenti di gestione della posta elettronica consentano la modifica delle impostazioni di default, soprattutto in caso di piattaforme cloud o SaaS;
- impedire la raccolta dei metadati oppure limitarne il periodo di conservazione ad un massimo di 7 giorni. Periodo estensibile di ulteriori 48 ore, solo in presenza di comprovate esigenze del datore di lavoro.
I datori di lavoro che avessero comunque necessità di conservare i metadati per un periodo di tempo più lungo, dovranno o ottenere un accordo sindacale oppure l’autorizzazione dell’ispettorato del lavoro. Dovranno insomma espletare le procedure di garanzia previste dallo Statuto dei Lavoratori.
Il documento completo è disponibile qui.
Cerchi un esperto privacy a cui affidarti o necessiti di una consulenza specifica per la tua organizzazione?