Ultime notizie

Lavoro e Privacy – Provvedimenti del Garante

A seguito dei recentissimi provvedimenti del Garante della Privacy, che integrano e specificano modalità applicative della disciplina già in vigore, si segnalano importanti novità in materia di trattamento dei dati relativi a programmi e servizi informatici di gestione della posta elettronica negli ambienti di lavoro e dei relativi metadati.

Il Garante rimodula il concetto di metadati con maggiore puntualità e definisce in maniera netta i tempi di conservazione degli stessi, al fine di non incorrere nelle sanzioni amministrative, pecuniarie ed anche di carattere penale, salvo che il fatto non costituisca più grave reato, previste dal Codice della Privacy, del GDPR 679/2016 e dallo Statuto dei Lavoratori.

Tali provvedimenti del Garante sono finalizzati a tutelare e salvaguardare la riservatezza delle informazioni relative alla corrispondenza dei lavoratori ed ottimizzare la gestione organizzativa di uno strumento di lavoro, la posta elettronica, ormai essenziale ed imprescindibile in ogni ambiente di lavoro.

I metadati, così come definiti, riguardano tutte le operazioni di invio e ricezione dei messaggi di posta elettronica (email) da parte dei lavoratori e possono comprendere gli indirizzi e-mail del mittente e del destinatario, gli indirizzi IP dei server o del Client coinvolti, gli orari di invio, di trasmissione o di ricezione, le dimensioni del messaggio, la presenza e la dimensione di eventuali allegati e, solo in alcuni casi, anche l’oggetto del messaggio spedito o ricevuto.

Si tratta, quindi, di meri dati esterni e di processo. Resta infatti vietato al datore di lavoro l’accesso ai contenuti delle email sulla base dei noti principi costituzionalmente garantiti di tutela del mittente e del destinatario, così come alle informazioni integrate nei messaggi che riguardino l’indirizzo che identifica il server che ha inviato il messaggio ed ai parametri relativi al servizio di consegna.

Le informazioni che rappresentano metadati, con esclusiva funzione di consentire il recapito e l’invio dei massaggi di posta elettronica, sono quelle registrate nei LOG generati:

  1. dai server di gestione e smistamento delle email;
  2. dalle postazioni terminali che effettuano l’invio dei messaggi e che consentono la consultazione della corrispondenza in entrata accedendo alle caselle di posta elettroniche.

Tali metadati, che per il Garante devono avere la caratteristica di essere registrati autonomamente dai sistemi di posta elettronica indipendentemente dalla volontà e dalla percezione dell’utilizzatore, devono essere assoggettati a specifica policy di Data Retention e non possono quindi rimanere conservati nei server per un lasso temporale illimitato.

Per evitare che la conservazione illimitata di questi dati possa dissimulare e quindi consentire un indiretto controllo a distanza dell’attività dei lavoratori anche sulla base delle previsioni dell’art. 4 della L.300/1970 (Statuo dei Lavoratori) il Garante chiarisce che:

  1. l’attività di raccolta e conservazione dei metadati può essere effettuata, di norma, per un periodo limitato massimo di 21 giorni e previa specifica preventiva informativa privacy ai dipendenti;
  2. esclusivamente in presenza di particolari condizioni, se tali 21 giorni non risultassero sufficienti ad assicurare il funzionamento del sistema di posta elettronica, si potrà individuare un tempo di conservazione differente, sempre previo svolgimento degli adempimenti di cui allo Statuto dei Lavoratori nonché informativa ai dipendenti sulle finalità, pertinenza, garanzie e limiti al trattamento. In questi casi il datore di lavoro dovrà adottare tutte le misure tecniche ed organizzative, sempre previa specifica informativa privacy ai lavoratori, per assicurare il rispetto del principio di limitazione delle finalità di trattamento dei dati, l’accessibilità dei soli soggetti autorizzati ed adeguatamente istruiti e la tracciatura degli accessi effettuati.

Contestualmente i datori di lavoro dovranno:

  1. implementare soluzioni tecniche che cancellino i metadati allo scadere del termine di conservazione (di norma 21 giorni);
  2. aggiornare il registro delle attività di trattamento con l’indicazione dei nuovi termini di cancellazione;
  3. procedere alla revisione delle informative sulla privacy rivolte ai lavoratori con l’indicazione dei periodi di conservazione.

Gli uffici delle sedi Territoriali di riferimento restano a disposizione per ogni supporto in merito sia alle attività di carattere sindacale che per provvedere ad una disamina in ordine ai corretti adempimenti in materia di tutela del trattamento dei dati personali connessi alla gestione dei sistemi di posta elettronica aziendale.

Print Friendly, PDF & Email

Check Also

Lavoratori nomadi digitali: possono effettuare attività lavorativa presso aziende in Italia al di fuori delle quote

Si ritiene utile ricordare che esiste una categoria di lavoratori che è definita “Nomadi Digitali”. …