Lo scorso 21 dicembre 2023, il Garante Privacy ha emanato un provvedimento di indirizzo in merito alla conservazione dei metadati delle e-mail nel contesto lavorativo, evidenziando la necessità di una conservazione limitata e dell’adozione di specifiche garanzie da parte dei datori di lavoro.
Il provvedimento di indirizzo emanato dal Garante per la protezione dei dati personali (“Garante”) evidenzia il rischio derivante dall’uso di programmi e servizi informatici per la gestione della posta elettronica, in modalità cloud, che potrebbero raccogliere e conservare per impostazione predefinita i metadati delle comunicazioni dei dipendenti. Questi metadati, che includono informazioni come giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail, potrebbero rivelare dettagli sulla sfera personale o sulle opinioni dei lavoratori.
Secondo il Garante il datore di lavoro deve garantire un’idonea base giuridica per il trattamento dei metadati, nel rispetto delle garanzie procedurali previste dalla legislazione vigente. Vengono quindi suggerite varie azioni di mitigazione dei rischi derivanti da un trattamento e una conservazione sine die.
In primo luogo, è opportuno verificare l’esistenza di meccanismi di opzione che consentano di escludere o limitare la conservazione di tali metadati. Tali opzioni dovrebbero essere rese disponibili dal provider di posta elettronica. In mancanza o nell’impossibilità di limitare il periodo di conservazione alla tempistica indicata dal Garante (7 giorni più 48 ore in casi eccezionali), il datore di lavoro deve adottare altre misure di garanzia a tutela dei lavoratori.
La conservazione in violazione oltre il periodo stabilito viene considerata come un possibile controllo a distanza del lavoratore, e quindi il Garante esprime la necessità di adottare le garanzie previste dallo Statuto dei Lavoratori: (i) accordo sindacale o (ii) autorizzazione dell’ispettorato del lavoro.
È inoltre ribadito il divieto di effettuare indagini sulle opinioni politiche, religiose o sindacali del lavoratore, così come su fatti non rilevanti per la valutazione dell’attitudine professionale del lavoratore.
Il documento fornisce indicazioni operative chiare ai datori di lavoro e ai produttori dei servizi e delle applicazioni, invitandoli a verificare che i programmi e servizi informatici consentano di modificare le impostazioni predefinite per impedire la raccolta dei metadati o limitare il periodo di conservazione degli stessi. Quale alternativa, viene suggerito di adempiere alle procedure di garanzia previste dalla disciplina di settore o di cessare l’utilizzo di tali programmi e servizi informatici. È inoltre sottolineato l’obbligo di fornire una specifica informativa ai lavoratori prima di iniziare il trattamento dei metadati, al fine di garantire trasparenza e consapevolezza.
L’extrema ratio, laddove non fosse possibile limitare la conservazione o raggiungere un accordo in base allo statuto dei lavoratori, secondo il Garante è la dismissione del servizio utilizzato.
Si tratta di un provvedimento decisamente restrittivo, che forse prende poco in considerazione come tali metadati siano fondamentali durante o successivamente ad un attacco informatico per ricostruire cosa è avvenuto ed, in generale, la rilevanza di tali informazioni in tema di cybersecurity.
Ai datori di lavoro non resta che procedere ad una valutazione dei propri provider di posta e, in caso non fosse possibile, provvedere ad avviare le necessarie procedure ai sensi dello Statuto dei Lavoratori.
Da un punto di vista di Data Protection sarà sicuramente necessario aggiornare l’informativa per i lavoratori e procedere ad una valutazione di impatto (DPIA) e probabilmente anche ad una valutazione di legittimo interesse (LIA).
DISCLAIMER: Questo articolo fornisce solo informazioni generali e non costituisce consulenza legale di alcun tipo da parte di Macchi di Cellere Gangemi che non si assume alcuna responsabilità per il contenuto e la correttezza della newsletter. L’autore o il vostro contatto in studio sono a Vostra disposizione per qualsiasi ulteriore chiarimento.