Garante Privacy - Provvedimento del 21 dicembre 2023 e del 06 Giugno 2024

“Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e 

trattamento dei metadati”

I datori di lavoro pubblici e privati che nella gestione della posta elettronica utilizzano programmi hanno l’obbligo di tutelare la riservatezza, la libertà e la dignità dei lavoratori in linea con quanto previsto dalla normativa Privacy GDPR Regolamento Europeo 2016/679 per un corretto trattamento dei dati personali.

Il Garante Privacy con Provvedimento del 21 Dicembre 2023 e del 06 Giugno 2024 ha adottato un Documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati rivolto a imprese ed enti pubblici

“Nell’ambito di accertamenti condotti dal Garante con riguardo ai trattamenti di dati personali effettuati nel contesto lavorativo è emerso il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori, anche in modalità cloud, possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i Metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti, ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email, conservando gli stessi per un esteso arco temporale. Ciò talvolta ponendo, altresì, limitazioni al Datore di lavoro in ordine alla possibilità di modificare le mpostazioni di base del programma informatico al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi” 

I Datori di Lavoro hanno l’onere di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso al lavoratore, Cloud o as-a-service, possano consentire di modificare le impostazioni base di default evitando la raccolta, il trattamento e/o la diffusione di Metadati limitando il loro periodo di conservazione estensibili solo in presenza di comprovate esigenze strutturali e di gestione aziendale.

Con il Provvedimento del 06 Giugno 2024 il Garante Privacy ha voluto richiamare quanto stabilito dal GDPR Regolamento Europeo 2016/679, il Principio di Liceità, Correttezza e Trasparenza del trattamento, di Limitazione alla Conservazione, di Responsabilizzazione del Datore di Lavoro, del Titolare del trattamento e del Responsabile del trattamento, la disciplina di settore in materia di Controlli a Distanza

Per esigenze organizzative, di gestione aziendale, di tutela del patrimonio informatico del Titolare, di sicurezza dei Sistemi Aziendali o per motivazioni che impongano di trattare Metadati per un periodo di tempo più esteso i Datori di Lavoro dovranno rispettare le procedure di garanzia previste dallo Statuto dei Lavoratori e nello specifico richiedere Accordo Sindacale o Autorizzazione all’Ispettorato del Lavoro.

Vi ricordiamo che l’estensione del periodo di conservazione dei Metadati riferiti alla posta elettronica aziendale oltre quanto stabilito dal Garante Privacy può comportare da parte del datore di lavoro un illecito indiretto controllo a distanza dell’attività del lavoratore.

Per approfondimenti info@targetimpresa.it

CORSO ONLINE AGGIORNAMENTO PRIVACY GDPR REGOLAMENTO EUROPEO 2016/679