Nota a Provvedimento del Garante per la protezione dei dati personali 21 dicembre 2023, n. 642
Fabio Iacobone
Il Garante per la protezione dei dati personali con provvedimento del 21 dicembre 2023 (pubblicato il 6 febbraio 2024) ha introdotto nuove linee guida da seguire per quanto riguarda la gestione della posta elettronica nel contesto lavorativo.
In particolare, il Garante ha rilevato il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad es., giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail), conservando gli stessi per un esteso arco temporale.
Nello specifico, il Garante ha sollecitato i titolari del trattamento dei dati personali a verificare l’attività di raccolta e conservazione dei soli c.d. metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica per un tempo che non può essere superiore di norma a poche ore o ad alcuni giorni, in ogni caso non oltre 7 giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore.
Qualora le imprese abbiano, invece, la necessità di raccogliere e conservare i metadati per un periodo più esteso, ad avviso dell’Autorità, devono attivare le procedure di cui all’art. 4 dello Statuto dei lavoratori.
Praticamente, l’Autorità garante ha ritenuto che la raccolta generalizzata e la conservazione da parte aziendale dei metadati della posta elettronica aziendale (ove, come detto, sono presenti giorno, ora, mittente, destinatario, oggetto e dimensione delle e-mail) può comportare un indiretto controllo a distanza dei lavoratori, con la conseguenza che il datore di lavoro, qualora intenda conservare i medesimi per un tempo superiore a quello sopra riportato (7 giorni), dovrà ottenere la preventiva autorizzazione con accordo sindacale o provvedimento dell’Ispettorato del lavoro, fornendo inoltre adeguata informativa ai dipendenti, in applicazione del citato art. 4 della L. n. 300/1970.
Il Garante ha differito l’efficacia di tale documento di indirizzo all’adozione, al termine di una consultazione pubblica finalizzata ad acquisire pareri di esperti e di operatori, di nuove misure (o in caso di mancata adozione di nuovi atti fino a 60 gg. Successivi alla fine della consultazione).
Provv.to GPDP 21 dicembre 2023, n. 642