Il Garante della Privacy ha fornito nuove indicazioni ai datori di lavoro per la gestione delle Email aziendali usate dai dipendenti. Siamo davanti, in estrema sintesi, ad una serie di linee guida per la gestione della posta elettronica in ambito lavorativo e sul trattamento dei metadati. Per le aziende non attenersi alle regole che sono state fornite può comportare il rischio di violazioni delle norme sulla videosorveglianza.
Ma entriamo nel dettaglio e vediamo a cosa devono stare attenti le aziende ed i datori di lavoro.
Le Email aziendali dei dipendenti e il rispetto della privacy
Nella newsletter n. 517, il Garante per la Protezione dei Dati Personali ha informato di aver provveduto ad adottare un nuovo documento di indirizzo, che è stato denominato ufficialmente: “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”. Ad essere interessati da questo nuovo documento sono i datori di lavoro, sia quelli pubblici che quelli privati.
Il Garante, sostanzialmente, ha fornito le nuove linee guida – alle quali si dovranno attenere i datori di lavoro privati e pubblici – per la gestione delle mail dei dipendenti. L’obiettivo, in estrema sintesi, è quello di contrastare eventuali trattamenti dei dati che non risultino essere in linea con le norme sulla privacy attualmente in vigore. Il Garante vuole, soprattutto, tutelare la libertà e la dignità dei singoli lavoratori.
A finire sotto la lente d’ingrandimento del provvedimento sono, soprattutto, i programmi forniti in modalità cloud. Questi, nella maggior parte dei casi, trattano in maniera generalizzata e sistematica i dati: non viene permesso di disabilitare o modificare le modalità di archiviazione. Una situazione che potrebbe configurare la violazione delle norme sulla privacy.
Posta elettronica dei dipendenti: i limiti della conservazione dei dati
L’Autorità ha ritenuto necessario redigere il suddetto documento alla luce di alcuni accertamenti effettuati. Nel corso di queste verifiche è emerso che determinati programmi e servizi informatici utilizzati per gestire la posta elettronica – e che sono commercializzati da molti fornitori in modalità cloud – vengono configurati in modo tale da raccogliere e conservare i metadati relativi all’utilizzo degli account delle mail dei dipendenti.
Tra i metadati che vengono conservati ci sono, ad esempio:
- giorno;
- ora;
- mittente;
- destinatario;
- oggetto;
- dimensione dell’e-mail.
Alcuni programmi per la gestione delle mail aziendali non permettono ai datori di lavoro di disabilitare la raccolta dei dati appena elencati. E nemmeno di ridurre il periodo di conservazione.
Il provvedimento del Garante
Il Garante, con il proprio provvedimento, ha effettuato una richiesta chiara e precisa ai datori di lavoro. Devono verificare che i vari servizi di gestione della posta elettronica aziendale permettano di modificare le impostazioni di base. Lo scopo è quello di impedire la raccolta dei metadati o, quantomeno, limitare il periodo della loro conservazione.
Il Garante ritiene che un periodo congruo, almeno sotto il profilo tecnico, perché la posta elettronica funzioni correttamente, dovrebbe essere fissato in:
- un periodo massimo di sette giorni;
- il suddetto periodo può essere esteso di 48 ore per comprovate esigenze.
La privacy dei dipendenti: come evitare le violazioni
Può capitare che, per una serie di motivi strettamente organizzativi e produttivi, il datore di lavoro debba trattare i metadati per dei periodi di tempo più estesi. In questo caso deve espletare le procedure di garanzia che sono previste dallo Statuto dei lavoratori. Sarà tenuto (le due soluzioni sono alternative una all’altra):
- a far pervenire alle rappresentanze sindacali un apposito accordo;
- a richiedere ed ottenere un’autorizzazione dall’ispettorato del lavoro.
Nel caso in cui dovesse essere impostato un periodo di conservazione della posta elettronica aziendale oltre a quello sopracitato, comporta un indiretto controllo a distanza dell’attività del lavoratore. Attività che risulta essere vietata dallo Statuto dei Lavoratori.