Articolo n°7
GARANTE: "PROGRAMMI E SERVIZI INFORMATICI DI GESTIONE DELLA POSTA ELETTRONICA NEL CONTESTO LAVORATIVO E TRATTAMENTO DEI METADATI"
Sommario
I datori di lavoro pubblici e privati che per la gestione della posta elettronica utilizzano programmi forniti anche in modalità cloud hanno a disposizione nuove indicazioni del Garante della Privacy utili a prevenire trattamenti di dati in contrasto con la disciplina sulla protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori.
Il Garante per la protezione dei dati personali ha infatti adottato un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati.
Tale documento si è reso necessario in quanto è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, possono raccogliere e conservare - per impostazione predefinita, in modo preventivo e generalizzato - i metadati relativi all'utilizzo degli account di posta elettronica dei dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell'e-mail), conservandoli per un arco temporale molto esteso, talvolta senza neanche la possibilità per il datore di lavoro di modificare le impostazioni, disabilitando la raccolta sistematica dei metadati o riducendone la durata di conservazione.
Si precisa che i metadati nulla dicono in ordine al contenuto della comunicazione e-mail, ma attengono a dati che potremmo definire "esteriori" della e-mail, quali appunto il giorno, l’ora, il mittente e il destinatario della e-mail. Questi dati vengono automaticamente salvati dal sistema formando dei veri e propri tracciati del "traffico e-mail", dai quali potrebbe derivare un controllo a distanza della prestazione lavorativa.
Pertanto, con il documento in commento il Garante invita i datori di lavoro a verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione ad un massimo di 7 giorni, estensibili, previo accordo sindacale o autorizzazione da parte dell’Ispettorato territoriale del lavoro, di ulteriori 48 ore. Detto periodo è infatti quello ritenuto congruo, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore.
I datori di lavoro che per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare (in particolare, ad esempio, per specifiche esigenze di sicurezza dei sistemi) avessero necessità di trattare i metadati per un periodo di tempo più esteso, dovranno espletare le procedure di garanzia previste dall’art. 4 dello Statuto dei lavoratori (accordo sindacale o autorizzazione dell'ispettorato del lavoro). L'estensione del periodo di conservazione oltre l'arco temporale fissato dal Garante può infatti comportare un indiretto controllo a distanza dell'attività del lavoratore.
In ogni caso, parte datoriale deve assicurare la necessaria trasparenza nei confronti dei lavoratori, fornendo agli stessi una specifica informativa sul trattamento dei dati personali prima di dare inizio al trattamento, dunque saranno da inserire nelle informative anche i tempi di conservazione dei metadati.
In tale prospettiva, il Garante invita i produttori dei servizi e delle applicazioni, in fase di sviluppo e progettazione degli stessi, a tenere conto del diritto alla protezione dei dati tenuto conto dello stato dell’arte.