Email dei dipendenti e tutela dati: nuove disposizioni del Garante

Il Garante interviene sul tema delle mail aziendali e comunica la predisposizione di linee guida a tutela della privacy dei lavoratori. I datori di lavoro pubblici e privati, che per la gestione della posta elettronica utilizzano programmi forniti anche in modalità cloud, da oggi hanno a disposizione nuove indicazioni utili a prevenire trattamenti di dati in contrasto con la disciplina sulla protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori: questo è l’incipit del messaggio pubblicato dal Garante della Privacy italiano mediante newsletter del 6.02.2024. Il Garante, nello specifico, ha comunicato di aver adottato un nuovo documento di indirizzo, denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, rivolto ai datori di lavoro pubblici e privati.

In base alle previsioni del documento, ogni datore di lavoro dovrà verificare che i programmi di posta elettronica in gestione permettano la modifica delle impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione a un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore. Questo comporta, necessariamente, la necessità di rivedere le impostazioni di gestione dei dati aziendali, con un conseguente disagio in termini di salvataggio e utilizzo di comunicazioni che, di sovente, hanno importanza strategica nella gestione della propria attività imprenditoriale.

La scelta del Garante deriva dal fatto che a seguito di accertamenti effettuati dall’Autorità è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare, per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail); in alcuni casi è emerso, inoltre, che i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione, con la possibilità di un indiretto controllo a distanza dell’attività del lavoratore.

Assimilando quindi questa possibilità a quella derivante dal controllo da remoto mediante videosorveglianza, i datori di lavoro che per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare (in particolare, ad esempio, per specifiche esigenze di sicurezza dei sistemi) avessero necessità di trattare i metadati per un periodo di tempo più esteso, dovranno espletare le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro).

Dal punto di vista operativo, la decisione del Garante comporta per il datore di lavoro (o titolare del trattamento del dato) un intervento necessario in relazione ai seguenti passaggi privacy:

• registro del trattamento del dato: aggiornamento in relazione alle nuove tempistiche di conservazione del dato;
• informativa privacy: risulta necessario l’aggiornamento con indicazione del periodo di conservazione dei metadati e successiva condivisione con i lavoratori.

Qualora, tuttavia, per esigenze di produzione, organizzazione o tutela del patrimonio il dato necessiti di essere conservato per un periodo più lungo, il datore di lavoro sarà tenuto a siglare un accordo in sede sindacale (o ottenere, in alternativa, autorizzazione al trattamento dall’Ispettorato territorialmente competente), ma in questo caso sarà necessario, in termini di aggiornamento della privacy policy aziendale, provvedere anche a:

• elaborare una valutazione di impatto;
• stabilire misure di gestione sicura del dato (oltre a quelle ordinariamente previste).