Il Garante per la privacy, per mezzo del provvedimento numero 642, datato 21 dicembre 2023, e pubblicato ieri, 6 febbraio 2024, ha emesso un documento di indirizzo dal titolo “Programmi e Servizi Informatici per la Gestione della Posta Elettronica nell’Ambito Lavorativo e Trattamento dei Metadati”. Questo documento fornisce orientamenti riguardanti i controlli a distanza dei dipendenti.
L’intento primario di questo provvedimento è quello di istruire i datori di lavoro sia nel settore pubblico che privato sulle pratiche relative alla privacy, specialmente in relazione al monitoraggio delle attività dei dipendenti, con un focus particolare sulla corrispondenza elettronica, mirando innanzitutto ad aumentare la consapevolezza dei responsabili del trattamento riguardo alle decisioni organizzative e pratiche in materia di privacy, e poi anche a prevenire azioni o trattamenti dei dati che violino le leggi sulla protezione dei dati personali e i principi che salvaguardano la libertà e la dignità dei lavoratori, come stabilito negli articoli 113 e 114 del Codice per la protezione dei dati personali (D.lgs. 30 giugno 2003, n. 196).
Tale documento consentirà inoltre di favorire una comprensione più approfondita delle normative e delle misure di sicurezza necessarie nell’ambito lavorativo, considerando gli alti rischi per i diritti e le libertà degli individui, andando ad affrontare in modo dettagliato vari aspetti, tra cui: la normativa specifica sui controlli a distanza; le possibili responsabilità legali dei datori di lavoro, sia nel settore pubblico che privato, inclusi gli aspetti di illegalità nel trattamento dei dati, le violazioni del principio di limitazione della conservazione e le violazioni dei principi di protezione dei dati fin dalla fase di progettazione e per impostazione predefinita, nonché la necessità di attribuire responsabilità ai soggetti coinvolti; le azioni e le misure necessarie per garantire la conformità con le normative sulla protezione dei dati e la normativa specifica sui controlli a distanza.
Più nello specifico, il provvedimento si concentra sul rischio che i programmi e i servizi cloud per la gestione della posta elettronica aziendale possano raccogliere, in modo generalizzato e preventivo, i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti, conservandoli per periodi prolungati.
Al fine di mitigare questo rischio, il Garante ha stabilito che la raccolta e la conservazione dei metadati delle e-mail aziendali non debba superare di norma poche ore o alcuni giorni, non oltre i 7 giorni, estendibili solo in presenza di esigenze documentate.
La normativa vigente considera l’uso della posta elettronica aziendale dagli impiegati come strumento funzionale all’attività lavorativa. Tuttavia, il nuovo provvedimento del Garante implica che la raccolta generalizzata e la conservazione dei metadati comportino un controllo indiretto a distanza dei lavoratori. Pertanto, se il datore di lavoro intende conservare i metadati per periodi superiori, deve ottenere un accordo sindacale o un’autorizzazione specifica.
Le aziende devono tenere conto delle prescrizioni sulla protezione dei dati fin dalla fase di progettazione e sviluppo dei servizi e delle applicazioni cloud. È essenziale che le aziende analizzino le necessità di conservazione dei metadati della posta elettronica dei dipendenti e adottino misure di adeguamento, se necessario, per garantire la conformità alle normative sulla protezione dei dati.
Ora, ciò che è importante sottolineare è che questo provvedimento del Garante Privacy offre un’importante spunto per cercare di fare chiarezza su un’area del trattamento dei dati personali spesso considerata “grigia”.
Al di là delle questioni tecniche legate al tempo di conservazione dei metadati, che indubbiamente richiedono una riflessione più approfondita ed auspicabilmente una revisione, questo documento fornisce una guida essenziale per le imprese e le istituzioni in materia di privacy e tutela dei lavoratori.
La trasparenza offerta riguardo alle responsabilità dei datori di lavoro, sia nel settore pubblico che privato, e la promozione di pratiche rispettose della privacy, contribuiscono a definire chiaramente i confini del trattamento dei dati nei contesti lavorativi.
In un’epoca in cui le tecnologie digitali permeano sempre più il mondo del lavoro, è fondamentale garantire che i diritti dei dipendenti e le normative sulla protezione dei dati siano rispettati pienamente. Questo provvedimento, dunque, rappresenta un passo significativo verso la protezione della privacy e la salvaguardia dei diritti fondamentali dei lavoratori nell’era digitale.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Sul margine di discrezionalità delle autorità garanti nell’infliggere sanzioni - Settembre 27, 2024
- Il parere del Garante sul decreto di recepimento della direttiva CER - Settembre 13, 2024
- Firmata la Convenzione quadro del Consiglio d’Europa sull’intelligenza artificiale - Settembre 5, 2024
- Il Parlamento UE emana un documento informativo di sintesi dell’AI Act - Settembre 2, 2024
- Il parere del Garante Privacy sullo schema di disegno di legge in materia di intelligenza artificiale - Agosto 9, 2024