Home

Internal

Global

Contatto

Rödl & Partner ha prestato la propria consulenza per il perfezionamento dell'acquisizione del Gruppo italiano FGV da parte di Hettich |

In tutto il mondo

Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra Cookie Policy.

Dal Garante nuove indicazioni sulla posta elettronica e sui metadati nel contesto lavorativo

Ultimo aggiornamento del 15.02.2024 | Tempo di lettura ca. 4 minuti

Con il Provvedimento del 21 dicembre 2023 - “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (Registro dei provvedimenti n. 642 del 21 dicembre 2023) pubblicato con la newsletter del 6.2.2024, il Garante torna sui metadati a seguito del Provvedimento di ingiunzione nei confronti di Regione Lazio del 1.12.2022, doc. web. 9833530) e lo fa con un documento di indirizzo che potrà avere concreti impatti nell’applicazione della disciplina privacy e lavoristica.

Il Garante ha recentemente varato un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati, in cui evidenzia i rischi connessi a tali trattamenti e fornisce indicazioni utili a garantire il rispetto della vigente normativa in materia di protezione dei dati personali e di diritto del lavoro.

Il documento si è reso necessario perché nell’ambito degli accertamenti effettuati in relazione alla propria attività ispettiva, l’Autorità ha riscontrato un sempre più diffuso ricorso a programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud o as-a-service, in grado di raccogliere automaticamente - e, talvolta, in modo generalizzato e preventivo - i metadati (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email) relativi all'utilizzo degli account di posta elettronica dei dipendenti, spesso senza che sia possibile per i datori di lavoro disabilitare tale raccolta sistematica di dati e/o di personalizzare, riducendolo, il relativo periodo di conservazione.

Con riferimento alla normativa dello Statuto dei Lavoratori, il Garante si sofferma sul 2 comma dell’articolo 4, che introduce un’eccezione, rispetto al più restrittivo regime previsto dal comma 1, ricordando che l’attività di raccolta e conservazione dei soli c.d. metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica non può essere superiore di norma a poche ore o ad alcuni giorni, in ogni caso non oltre sette giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore.

Secondo il Garante, quindi, “la generalizzata raccolta e la conservazione di tali metadati, per un lasso di tempo più esteso – ancorché sul presupposto della sua necessità per finalità di sicurezza informatica e tutela dell’integrità del patrimonio, anche informativo, del datore di lavoro - potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta l. n. 300/1970”, con la conseguenza che, in mancanza di esse, non è possibile utilizzare le informazioni raccolte e con il rischio in ogni caso, stante la raccolta di metadati, di violare l’art. 8 Statuto dei Lavoratori.

Fermo l’orientamento restrittivo esposto nel proprio documento di indirizzo, il Garante conclude con le iniziative da porre in essere per assicurare il rispetto della normativa in materia di protezione dei dati e la disciplina di settore in materia di controlli a distanza per i datori di lavoro che facciano ricorso a programmi e servizi informatici per la gestione della posta elettronica in cloud.

Alla luce delle iniziative indicate dal Garante, pertanto, risulta opportuno per i datori di lavoro valutare di adottare le seguenti misure in ambito privacy e labour:

avviare un processo di verifica degli eventuali metadati raccolti dai sistemi informatici impiegati a livello aziendale e delle relative modalità e tempi di conservazione, possibilmente coinvolgendo le strutture aziendali e gli eventuali fornitori operanti nel settore dell’Information Technology;
verificare che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti - specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service - consentano al datore di lavoro di modificare le impostazioni di base;
valutare se limitare il periodo di conservazione o estenderlo.

Qualora i datori di lavoro vogliano estendere il termine, si renderà necessario:

determinare un congruo termine di conservazione, nel rispetto del principio di limitazione della conservazione, assicurandosi che al suo spirare i dati vengano effettivamente cancellati dai sistemi;
effettuare una valutazione d’impatto sul trattamento dei dati personali ai sensi dell’art. 35 del GDPR nonché, ove il trattamento si fondi sul legittimo interesse, un c.d. balancing test;
valutare se sia opportuno adottare appositi accordi sindacali e/o ricorrere alle autorizzazioni dell’Ispettorato (o aggiornare tale documentazione, ove già presente);
informare in maniera adeguata i propri dipendenti e collaboratori dei trattamenti effettuati in relazione alla posta elettronica aziendale, inclusi i relativi metadati;
aggiornare in maniera conforme i registri delle attività di trattamento;
adottare o aggiornare il regolamento per l’utilizzo degli strumenti informatici aziendali.