Il Garante ha introdotto modifiche e chiarimenti riguardanti l’applicazione delle norme, la conservazione dei metadati e le responsabilità dei datori di lavoro e dei fornitori di servizi.
Gestione delle email di lavoro: la parola al Garante
Gestire la posta elettronica in ambito lavorativo è complesso e delicato. Con il documento di indirizzo del 21 dicembre 2023 Il Garante per la Protezione dei Dati Personali ha pubblicato un documento di indirizzo con il quale introduce importanti novità che coinvolgono sia i fornitori di servizi di gestione delle email sia le aziende.
In seguito ha poi avviato una consultazione pubblica, con lo scopo di acquisire proposte riguardo alla conservazione dei metadati per i datori di lavoro pubblici e privati. E’ nato così il provvedimento del 6 giugno 2024.
Quest’ultimo apporta modifiche e integrazioni al Documento di Indirizzo e aiuta ad orientare le scelte dei datori di lavoro nell’individuare il periodo di conservazione dei dati.
Il documento di Indirizzo di dicembre 2023
Con il Documento, il Garante per la Protezione dei Dati personali aveva specificato che:
- l’attività di raccolta e conservazione dei metadati non poteva essere superiore a un massimo di 7 giorni (estensibili, in presenza di documentate esigenze, di ulteriori 48 ore);
- l’obbligo di fornire l’informativa sul trattamento dei dati personali prima di iniziare il trattamento.
Per approfondire > Email di lavoro dei dipendenti: i datori devono cancellare i metadati entro 7 giorni
Il nuovo provvedimento del 6 giugno 2024
Il nuovo provvedimento innanzitutto chiarisce che non impone nuove regole o obblighi per chi gestisce i dati. Piuttosto, fornisce una panoramica delle regole esistenti, mettendo in evidenza alcuni punti di contatto tra la protezione dei dati e le norme sull’uso della tecnologia nei luoghi di lavoro. Viene quindi sottolineato che il Documento di Indirizzo è solo orientativo e permette di trattare informazioni per garantire il corretto funzionamento e l’uso sicuro della posta elettronica, senza dover seguire la procedura di garanzia prevista dallo Statuto dei Lavoratori.
Elementi nuovi
Il documento del Garante spiega che i metadati degli account email dei dipendenti, come gli indirizzi email, gli orari di invio e ricezione, e gli indirizzi IP, possono essere conservati per lungo tempo. In alcuni casi anche l’oggetto del messaggio spedito o ricevuto. Questi metadati sono registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla volontà dell’utilizzatore.
Il documento chiarisce però che questi metadati non devono essere confusi con il contenuto effettivo delle email, che rimane sotto il controllo dell’utente. Di conseguenza, le indicazioni contenute nel documento, che riguardano i tempi di conservazione dei metadati, non riguardano i contenuti del messaggio, i quali rimangono a disponibilità del lavoratore.
In merito alla conservazione dei metadati, questa dovrebbe essere limitata a pochi giorni, generalmente non più di 21, a meno che non ci siano particolari necessità tecniche che giustifichino un periodo più lungo. In questi casi, il responsabile del trattamento dei dati deve adottare misure per garantire che solo le persone autorizzate possano accedere a questi dati e che gli accessi siano tracciati.
Due importanti novità
Il nuovo provvedimento del Garante introduce due importanti novità:
- Contenuto dei messaggi di posta elettronica:
Il datore di lavoro prima di effettuare un trattamento dei dati personali deve:
- verificare l’esistenza dei presupposti di liceità;
- rispettare i principi generali dei trattamento;
- considerare se è necessaria una valutazione di impatto sulla protezione dei dati (DPIA).
- informare chiaramente i lavoratori su come verranno trattati i loro dati, prima che il trattamento inizi.
- rispettare il principio di accountability, valutando se i trattamenti previsti possono presentare un rischio elevato per i diritti e le libertà dei lavoratori, specialmente riguardo alla raccolta e memorizzazione dei log delle email.
- Obblighi per i fornitori:
- I fornitori di servizi e applicazioni devono garantire che i loro prodotti rispettino le normative sulla protezione dei dati.
- Devono aiutare i datori di lavoro a rispettare le loro responsabilità in materia di protezione dei dati, migliorando i loro prodotti per conformarsi meglio alle leggi.
Il documento completo è disponibile qui.