Garante privacy – provvedimento di indirizzo del 21 dicembre 2023 “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” - sospensione del provvedimento e avvio di una consultazione pubblic

L’Autorità Garante per la protezione dei dati personali ha recentemente pubblicato il documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, richiamando l’attenzione su alcuni aspetti che potrebbero essere in contrasto con le norme sulla protezione dei dati e la tutela del lavoratore.

Il documento nasce a seguito di accertamenti effettuati dall’Autorità dai quali è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare - per impostazione predefinita, in modo preventivo e generalizzato - i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail). In alcuni casi è emerso anche che i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione.

Si chiede quindi ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione ad un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore. Tale periodo è stato considerato dal Garante congruo, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore.

Si chiede invece ai datori di lavoro che per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare (in particolare, ad esempio, per specifiche esigenze di sicurezza dei sistemi) avessero necessità di trattare i metadati per un periodo di tempo più esteso, di espletare le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro). L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore.

Per rispondere alle numerose richieste di chiarimenti ricevute, il Garante ha deciso di differire l’efficacia del documento di indirizzo e promuovere una consultazione pubblica di 30 giorni sulle forme e modalità di utilizzo che renderebbero necessaria una conservazione dei metadati superiore a quella ipotizzata nello stesso documento.

Datori di lavoro pubblici e privati, esperti della disciplina di protezione dei dati e tutti i soggetti interessati avranno a disposizione 30 giorni, a partire dalla pubblicazione in Gazzetta ufficiale, in corso, per inviare al Garante le proprie osservazioni, i commenti, le informazioni, le proposte e tutti gli elementi ritenuti utili, tramite posta ordinaria o alle caselle protocollo@gpdp.it oppure protocollo@pec.gpdp.it.

Distinti saluti.

                                                                                         Il Direttore Generale

                                                                              (Dr. Alessandro Massimo Nucara)