Il Garante per la protezione dei dati personali ha adottato un nuovo documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati per la tutela delle e-mail dipendenti al fine di garantire maggiore tutela a questi ultimi e ridimensionare i tempi di utilizzo dei dati trattati da parte dei propri datori.
NUOVE TUTELE PER LE E-MAIL DIPENDENTI: DI COSA SI TRATTA?
Il documento nasce a seguito di alcuni accertamenti effettuati dall’Autorità stessa la quale ha riscontrato come determinati programmi e servizi informatici utilizzati, commercializzati da fornitori anche in modalità cloud proprio per la gestione della posta elettronica, sono configurati in modo da raccogliere e conservare, in modo predefinito, in modo preventivo e generalizzato, tutti i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti e quindi, ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail.
Tra queste, rientra anche il garante per la protezione dei dati personali, chiamato in genere Garante della privacy.
Inoltre, in alcuni casi per i datori di lavoro non risulta possibile disabilitare tale raccolta sistematica dei dati o di ridurne il periodo di conservazione, questo perché i sistemi utilizzati non lo consentono.
Lo scopo è stato quindi quello di indicare delle linee guida indirizzate direttamente ai datori di lavoro pubblici e privati per la gestione della posta elettronica dei dipendenti e prevenire trattamenti di dati che vadano in contrasto con le norme sulla protezione della privacy ai fini di tutelare la libertà e la dignità dei lavoratori.
Con tale provvedimento il Garante indica e richiede ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica utilizzati dai dipendenti, in particolare quando si tratta di prodotti di mercato forniti in cloud o as-a-service, consentano di modificare le impostazioni di base, impedendo così la raccolta dei metadati o comunque di limitarne il loro periodo di conservazione. Infatti, sul tema della conservazione, il periodo considerato congruo sotto un profilo prettamente tecnico, è prefissato per un massimo di 7 (sette) giorni per assicurare il regolare funzionamento della posta elettronica del lavoratore.
Questo periodo è estensibile poi, qualora vi siano comprovate esigenze, di ulteriori 48 ore.
NUOVE TUTELE PER LE E-MAIL DIPENDENTI: COME TUTELARE LA PRIVACY DIPENDENTI?
Il Garante chiede quindi ai datori di lavoro una maggiore attenzione nella scelta o comunque nel verificare dei programmi e dei servizi informatici utilizzati, affinché questi consentano perlomeno di apportare le giuste impostazioni che rispettino la tutela e la privacy dei propri lavoratori.
Nei casi in cui i datori di lavoro abbiano, per esigenze organizzative e produttive o di tutela del patrimonio informativo del titolare, necessità a trattare i metadati per un periodo di tempo più esteso, sono previste delle indicazioni al fine di non violare i principi suddetti.
Si richiede, in questo caso, di effettuare le procedure di garanzia previste dallo Statuto dei lavoratori ovvero:
- pervenire ad un accordo con le rappresentanze sindacali
- ottenere l’autorizzazione dell’ispettorato del lavoro
Infatti, una estensione del periodo di conservazione oltre l’arco temporale sopracitato può comportare un indiretto controllo a distanza dell’attività del lavoratore, che è vietato per l’appunto dallo Statuto dei lavoratori, Legge 300 1970.
Il Garante, inoltre, sottolinea che nelle more dell’eventuale espletamento delle procedure di garanzia, i metadati non possono comunque essere utilizzati.
Questa fase risulta essere particolarmente critica poiché ci si potrebbe imbattere sempre nel rischio di ricevere delle sanzioni, visto che anche l’installazione dei sistemi è soggetta alle procedure di garanzia.
In mancanza di esigenze organizzative o produttive o in caso di omessa applicazione della legge n.300 del 1970, la raccolta dei metadati resta sempre e comunque illegittima.
Infine, bisogna ricordare che ai lavoratori deve essere sempre data chiara informativa su come avviene la raccolta dei metadati.
Quando le p.a. comprano questi servizi tramite piattaforme (ad esempio Meta devono, infatti, controllare se siano o no in regola con le regole dettate dal Garante.
In linea generale, sarebbe meglio se chi vende questi servizi, si occupasse di rispettare quanto previsto dal Garante, senza lasciare l’onere in mano ai datori di lavoro.
E quando i servizi sono eseguiti da fornitori cloud, questi dovrebbero già di per sé attenersi alle istruzioni dei datori di lavoro, che devono appositamente controllare i contratti.
Ma la cosa non è affatto semplice quando il cloud è la parte contrattualmente forte.
Resta dunque un dovere del datore effettuare le adeguate verifiche per non incorrere in violazioni che determinerebbero una sanzione non di poco conto.
Se hai necessità di conformare la tua attività alle regole dettate dal Garante ed in generale alle disposizioni relative alla privacy, contattaci subito.
Scrivici all’indirizzo di posta elettronica info@abinnovationconsulting.com, oppure compila il modulo seguente.
