Con provvedimento del 6 giugno 2024, il Garante per la protezione dei dati personali ha pubblicato un documento di indirizzo in relazione a “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”.

Il documento nasce dall’esigenza di chiarire in che modo e con quali tempistiche il datore di lavoro può conservare i metadati relativi alle caselle e-mail in uso ai dipendenti. In particolare, l’Autorità ha chiarito che i metadati/log necessari ad assicurare il funzionamento e la sicurezza delle infrastrutture del sistema della posta elettronica possono essere conservati per un periodo limitato a pochi giorni e comunque inferiore a 21 giorni. La conservazione deve inoltre avvenire nel rispetto dei principi del GDPR, tra cui quelli di trasparenza, minimizzazione e responsabilizzazione.

La conservazione dei metadati per un periodo superiore ai 21 giorni, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, è lecita solo in casi particolari e, comunque, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, dello Statuto dei Lavoratori, ovvero la stipulazione di un accordo sindacale con le RSU interne o – in mancanza di queste ultime – la richiesta di autorizzazione all’Ispettorato del Lavoro competente per territorio.

Il prolungamento della conservazione può inoltre comportare un monitoraggio costante e sistematico degli interessati, da cui deriva la necessità per l’azienda di svolgere una valutazione di impatto del trattamento (DPIA) focalizzata sull’analisi dei rischi per i diritti e le libertà degli interessati stessi.

Vi invitiamo a contattarci per valutare correttamente ed effettuare i dovuti controlli sul rispetto dei termini di conservazione forniti dal Garante, nonché sulla conformità ai principi sulla protezione dei dati personali nell’utilizzo delle caselle e-mail aziendali.

Per maggiori informazioni potete contattarci via e-mail all’indirizzo: gdpr@cnare.it.

Di seguito si forniscono alcune FAQ utili per la comprensione del contenuto e delle conseguenze di quanto disposto dal nuovo provvedimento del Garante Privacy.

I metadati delle e-mail sono informazioni relative alle operazioni di invio e ricezione dei messaggi raccolte e conservate automaticamente dai sistemi di posta elettronica; includono informazioni come indirizzi email del mittente e del destinatario, indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, orari di invio, di ritrasmissione o di ricezione, dimensione del messaggio, presenza e dimensione di eventuali allegati e, in certi casi, anche l’oggetto del messaggio. I metadati sono importanti perché rivelano informazioni sensibili sulle comunicazioni e le attività aziendali.

I datori di lavoro devono rispettare i principi del Regolamento Generale sulla Protezione dei Dati (GDPR), in particolare quelli di trasparenza, minimizzazione, limitazione della conservazione e responsabilizzazione. Il GDPR impone che i dati personali – inclusi i metadati – siano trattati in modo da proteggere la privacy degli interessati al trattamento, garantendo liceità, necessità e proporzionalità del trattamento effettuato. I datori devono inoltre rispettare le disposizioni di cui al provvedimento del 6 giugno 2024 emanato dal Garante Privacy e procedere alla richiesta di autorizzazione all’Ispettorato del Lavoro nel caso in cui conservino i metadati delle e-mail per un tempo superiore ai 21 giorni.

La “valutazione di impatto del trattamento” (Data Protection Impact Assessment, DPIA) è uno strumento previsto dall’art. 35 del GDPR che aiuta a descrivere il trattamento dei dati, valutarne la necessità e la proporzionalità, e gestire i rischi per i diritti e le libertà delle persone fisiche. È obbligatoria nei casi in cui il trattamento presenti un rischio elevato per i diritti e le libertà degli individui.

I datori di lavoro devono esaminare le impostazioni predefinite dei programmi di gestione della posta elettronica per minimizzare la raccolta e la conservazione non necessarie dei metadati. Se i tempi di conservazione superano i 21 giorni, devono chiedere un’apposita autorizzazione all’Ispettorato del Lavoro.  

E’ fondamentale informare adeguatamente i lavoratori in merito alla raccolta e conservazione dei metadati che li riguardano, nel rispetto dei principi di correttezza e trasparenza, attraverso il Regolamento sull’utilizzo degli strumenti informatici aziendali. All’interno del Regolamento deve essere specificato quali metadati vengono raccolti e perchè, come vengono utilizzati e per quanto tempo sono conservati.

Per la violazione dei principi del GDPR sono irrogabili sanzioni fino a 10/20 milioni di euro, oppure fino al 2/4% del fatturato globale.

Le violazioni del provvedimento del Garante sul limite della conservazione, e quindi dell’art. 4 dello Statuto dei Lavoratori (L. 300/70), – salvo che il fatto non costituisca più grave reato – sono punite con ammenda da euro 154 a euro 1.549 oppure arresto da 15 giorni ad un anno. Nei casi più gravi, le pene dell’arresto e dell’ammenda sono applicate congiuntamente e la sentenza di condanna è soggetta a pubblicazione (art. 171 D.lgs. 196/2003 e art. 38 L. 300/70).

Compila il form per essere ricontattato