E-mail dei dipendenti, dal Garante della Privacy nuove tutele e un nuovo documento
ll Garante della Privacy lo scorso 6 febbraio ha reso nota l’adozione del documento “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro del comparto sia pubblico che privato. A disposizione dei datori di lavoro nuove norme e una nuova disciplina per i sistemi di posta elettronica dei dipendenti, uno strumento aziendale sotto osservazione. Il parere degli esperti.
Strumenti di posta elettronica sotto osservazione da parte del Garante della Privacy che, lo scorso 6 febbraio, ha reso nota l’adozione del documento “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro del comparto sia pubblico che privato. A loro disposizione nuove norme e una nuova disciplina per i sistemi di posta elettronica dei dipendenti.
Come precisano Alessio Celestino e Elisa Bachin, Avvocati dello studio legale Fava & Associati, il provvedimento riguarda i programmi della posta elettronica forniti in modalità “cloud”, «’colpevoli’, nella maggior parte dei casi, di raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti, quali, ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail», fanno sapere i legali.
Tali metadati, poi, vengono il più delle volte conservati per un esteso arco temporale e ciò contribuisce a mettere ulteriormente a rischio il rispetto della normativa in materia di protezione dei dati personali. Pertanto, come suggerito dal Garante, «è essenziale che tali dati vengano raccolti e trattati per poche ore o per alcuni giorni, in ogni caso non oltre sette giorni, estensibili, in presenza di comprovate e documentate esigenze, di ulteriori 48 ore», precisa l’avvocato Celestino. Infatti, qualora, al contrario, questi dati vengano raccolti e conservati per un maggior arco temporale, sarà necessario il previo accordo con RSA o RSU o, in mancanza, l’autorizzazione dell’ITL. In questi casi, verrebbe a configurarsi «un autentico controllo a distanza dei lavoratori il quale, come noto, necessita del rispetto delle garanzie procedurali di cui all’articolo 4 dello Statuto dei Lavoratori», spiega l’avvocato Bachin.
A seguito dell’emanazione delle linee guida – oltre che delle successive richieste di chiarimenti pervenute da più parti con riferimento ai tempi di conservazione dei metadati generati o raccolti nell’ambito dei sistemi di posta elettronica – poi, il Garante ha avviato una consultazione pubblica sul tema: per 30 giorni dopo la pubblicazione dell’avviso di avvio della consultazione sulla Gazzetta Ufficiale ha dato la possibilità di inviare osservazioni e proposte in merito alla congruità del termine di conservazione dei predetti metadati. Quindi, l’efficacia di queste linee guida è stata differita alla conclusione della consultazione pubblica, all’esito della quale il Garante potrà anche adottare ulteriori determinazioni sulla base dei contributi ricevuti.
È evidente che questo provvedimento ha delle ricadute anche sull’HR, che è tenuto a verificare la durata dell’attività di raccolta e conservazione dei metadati, al fine di appurare se sia necessario o meno il rispetto dei requisiti procedurali di cui all’articolo 4 dello Statuto dei Lavoratori. «È chiaro che, qualora tale attività si protragga oltre i limiti temporali indicati dal Garante, così da rendere necessario, secondo le indicazioni del Garante stesso, l’accordo con RSA/RSU o l’autorizzazione dell’ITL – aggiunge Celestino – la stessa potrà essere effettivamente avviata solo dopo aver raggiunto l’accordo o aver ricevuto l’autorizzazione. Inoltre, resta inteso che, anche attenendosi ai rigidi limiti temporali fissati dal Garante, è ad ogni modo necessario che i tempi di conservazione dei metadati siano proporzionati rispetto alle legittime finalità perseguite, nel rispetto del principio di limitazione della conservazione».
Queste finalità possono dirsi legittime qualora il datore di lavoro ponga in essere l’attività di raccolta e conservazione di metadati al fine di garantire la sicurezza informativa e la tutela del patrimonio informativo, nonché di rilevare e mitigare eventuali incidenti di sicurezza. Secondo l’avvocato Elisa Bachin «è opportuno optare per programmi e servizi informatici di gestione della posta elettronica dei dipendenti che permettano di modificare le impostazioni di base in maniera tale da impedire la raccolta dei predetti metadati o da limitare il periodo di conservazione degli stessi».
Importante, infine, consegnare ai dipendenti, prima dell’inizio del trattamento, un’apposita informativa privacy, contenente tutti i requisiti prescritti dall’articolo 13 del GDPR e che, in particolare, specifichi le modalità d’uso degli strumenti e di effettuazione dei controlli.
Quest’ ultimo adempimento si rivela imprescindibile anche per potere, in seguito, utilizzare i dati così raccolti per tutti i fini connessi al rapporto di lavoro, primo fra tutti l’avvio di un procedimento disciplinare nei confronti dei lavoratori interessati (e, quindi, anche l’irrogazione di un eventuale licenziamento).
