Update | Posta elettronica e metadati: nuove indicazioni per la gestione della posta elettronica nel contesto lavorativo
Il Garante per la Protezione dei Dati Personali, con Provvedimento del 21/12/2023 n. 642, ha adottato un nuovo Documento di indirizzo denominato “Programma e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai titolari del trattamento – datori di lavoro pubblici e privati – e finalizzato a prevenire l’impiego di programmi e servizi di gestione della posta elettronica in ambito lavorativo in assenza di adeguati presupposti di liceità.
Il documento nasce a seguito di accertamenti effettuati dall’Autorità dai quali è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail). In alcuni casi è emerso anche che i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione.
Il Garante, dunque, chiede ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione ad un massimo di 7 giorni, estensibili, in presenza di comprovate e documentate esigenze, di ulteriori 48 ore.
I datori di lavoro che per esigenze organizzative o produttive avessero necessità di trattare i metadati per un periodo di tempo più esteso, dovranno espletare le procedure di garanzia previste dall’art. 4 dello Statuto dei Lavoratori (accordo sindacale o autorizzazione dell’Ispettorato del Lavoro). L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore, restando inteso che, nelle more dell’eventuale espletamento delle procedure di garanzia, i predetti metadati non possono comunque essere utilizzati.
In ogni caso, deve essere assicurata la necessaria trasparenza nei confronti dei lavoratori, fornendo agli stessi una specifica informativa sul trattamento dei dati personali prima di dare inizio al trattamento.
L’impiego di programmi e servizi di gestione della posta elettronica in ambito lavorativo in assenza di adeguati presupposti di liceità, determina l’applicazione di sanzioni amministrative pecuniarie ai sensi del Regolamento UE 2016/679, oltre al possibile insorgere di responsabilità sul piano penale.