Il Garante privacy, nella newsletter n. 517 del 6 febbraio 2024, ha informato di aver adottato un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati.

Il documento nasce a seguito di accertamenti effettuati dall’Autorità dai quali è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail). In alcuni casi è emerso anche che i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione.

Con tale documento di indirizzo il Garante ribadisce come l’impiego di programmi e servizi informatici per la gestione della posta elettronica dia luogo a “trattamenti” di dati personali, riferiti a “interessati”, identificati o identificabili.

Pertanto, il Garante avverte come, al fine di prevenire trattamenti di dati personali non conformi al vigente quadro normativo, con conseguenti responsabilità sul piano sia amministrativo che penale, i datori di lavoro devono adottare le misure necessarie a conformare i propri trattamenti alla disciplina di protezione dati e a quella di settore, prevista dallo Statuto dei Lavoratori.

In particolare, si rende necessario verificare con la dovuta diligenza che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service – consentano al cliente (datore di lavoro) di modificare le impostazioni di base, impedendo la raccolta dei predetti metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di sette giorni, estensibile di ulteriori 48 ore, in presenza di specifiche condizioni.

In tale prospettiva, il Garante invita altresì i produttori dei servizi e delle applicazioni, in fase di sviluppo e progettazione degli stessi, a tenere conto del diritto alla protezione dei dati tenuto conto dello stato dell’arte.

Diversamente, i datori di lavoro pubblici o privati, in qualità di titolari del trattamento, dovranno alternativamente, nel caso in cui i trattamenti di dati personali in questione si dovessero comunque rendere necessari per il perseguimento di esigenze organizzative o produttive, espletare le procedure di garanzia previste dalla disciplina di settore (art. 4 della l. 300/1970, che prevede l’accordo sindacale o l’autorizzazione pubblica) o cessare l’utilizzo di tali programmi e servizi informatici.

Il Garante chiarisce comunque che, nelle more dell’eventuale espletamento delle procedure di garanzia, i predetti metadati non possono comunque essere utilizzati (cfr. art. 2-decies del Codice).

In ogni caso, deve essere assicurata la necessaria trasparenza nei confronti dei lavoratori, fornendo agli stessi una specifica informativa sul trattamento dei dati personali prima di dare inizio al trattamento (cfr. art. 5, par. 1, lett. a), 12 e 13 del Regolamento).

Per quanto non riportato nella presente si rinvia al citato documento di indirizzo, di seguito allegato.

Allegato: GarantePrivacy-9978728-1.1