Garante Privacy - Provvedimento del 21 dicembre 2023 - Documento di indirizzo 

“Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e 

trattamento dei metadati”

I datori di lavoro pubblici e privati che nella gestione della posta elettronica utilizzano programmi hanno l’obbligo di tutelare la riservatezza, la libertà e la dignità dei lavoratori in linea con quanto previsto dalla normativa Privacy GDPR Regolamento Europeo 2016/679 per un corretto trattamento dei dati personali.

Il Garante Privacy con Provvedimento del 21 Dicembre 2023 ha adottato un Documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati rivolto a imprese ed enti pubblici

“Nell’ambito di accertamenti condotti dal Garante con riguardo ai trattamenti di dati personali effettuati nel contesto lavorativo è emerso il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori, anche in modalità cloud, possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i Metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti, ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email, conservando gli stessi per un esteso arco temporale. Ciò talvolta ponendo, altresì, limitazioni al Datore di lavoro in ordine alla possibilità di modificare le mpostazioni di base del programma informatico al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi” 

I Datori di Lavoro hanno l’onere di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso al lavoratore, Cloud o as-a-service, possano consentire di modificare le impostazioni base di default evitando la raccolta, il trattamento e/o la diffusione di Metadati limitando il loro periodo di conservazione ad un massimo di 7 giorni estensibili di ulteriori 48 ore solo in presenza di comprovate esigenze strutturali e di gestione aziendale.

Il periodo di 7 giorni è considerato congruo per garantire il regolare funzionamento della posta elettronica del lavoratore. 

Per esigenze organizzative, di gestione aziendale, di tutela del patrimonio anche informativo del Titolare, di sicurezza dei Sistemi Aziendali o per motivazioni che impongano di trattare Metadati per un periodo di tempo più esteso i Datori di Lavoro dovranno rispettare le procedure di garanzia previste dallo Statuto dei Lavoratori e nello specifico richiedere Accordo Sindacale o Autorizzazione all’Ispettorato del Lavoro.

Vi ricordiamo che l’estensione del periodo di conservazione dei Metadati riferiti alla posta elettronica aziendale oltre quanto stabilito dal Garante Privacy può comportare da parte del datore di lavoro un illecito indiretto controllo a distanza dell’attività del lavoratore.

Per approfondimenti info@targetimpresa.it

* in data 22 Febbraio 2024 il Garante Privacy ha avviato una Consultazione Pubblica sulla congruità del termine di conservazione dei Metadati degli account di posta elettronica

CORSO ONLINE AGGIORNAMENTO PRIVACY GDPR REGOLAMENTO EUROPEO 2016/679