Il documento pubblicato dal Garante per la privacy chiarisce i comportamenti che devono assumere i datori di lavoro nella gestione dei metadati legati alle comunicazioni scambiate tramite posta elettronica.
Il Garante per la protezione dei dati personali ha recentemente emesso un importante documento di indirizzo riguardante l’utilizzo delle e-mail da parte dei dipendenti delle aziende. Questo documento fornisce linee guida chiare e precise su come le organizzazioni devono gestire le comunicazioni elettroniche dei propri dipendenti, al fine di garantire il rispetto della normativa sulla privacy.
La gestione dei metadati
Il documento pubblicato dal Garante per la privacy stabilisce che le aziende possono conservare i metadati relativi all’utilizzo dei sistemi di posta elettronica per un periodo massimo di sette giorni. Per metadati si intendono quelle informazioni che servono per descrivere un dato. Nel caso della posta elettronica, si fa riferimento al giorno, l’ora, il mittente, il destinatario, l’oggetto e la dimensione dell’e-mail stessa.
Il Garante chiede ai datori di lavoro di verificare che i programmi che gestiscono la posta elettronica utilizzata dai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base. La modifica delle impostazioni consente, come da richiesta del Garante, di limitare il periodo di conservazione dei metadati e di disabilitare la raccolta sistematica dei dati.
Diritti dei dipendenti e obblighi dei datori di lavoro
Il documento del Garante sottolinea anche i diritti dei dipendenti in merito alla privacy delle loro comunicazioni elettroniche. In particolare, viene ribadito il diritto alla riservatezza e alla segretezza delle comunicazioni, che implica che le e-mail dei dipendenti non possono essere monitorate o controllate in modo arbitrario dai datori di lavoro. Tuttavia, è importante sottolineare che i datori di lavoro hanno anche degli obblighi nei confronti della sicurezza e della protezione dei dati aziendali, il che può giustificare alcune forme di controllo sulle comunicazioni dei dipendenti, purché siano proporzionate e rispettino la normativa vigente in materia di privacy e tutela dei dati personali. I datori di lavoro che non rispettano queste direttive incorrono in un’accusa di trattamento illecito. La conservazione dei metadati per un periodo superiore a quello stabilito porterebbe il datore di lavoro ad essere accusato della violazione del principio di limitazione della conservazione.
Le eccezioni al trattamento dei metadati
Se per specifiche esigenze di sicurezza, i datori di lavoro avessero la necessità di trattare i metadati oltre il periodo stabilito di sette giorni, c’è la possibilità che questo periodo venga esteso di due ulteriori giorni. L’estensione, tuttavia, è soggetta alla sottoscrizione di un accordo sindacale o alla firma dell’autorizzazione da parte dell’Ispettorato del Lavoro. Senza uno di questi due accordi, la conservazione dei dati oltre l’arco temporale fissato può essere vista come controllo indiretto a distanza del lavoratore. L’azienda può essere così sanzionata sia sotto il profilo penale che sotto quello amministrativo.