Il Garante della privacy, con il documento di indirizzo n. 642 del 21 dicembre 2023, ha introdotto alcune linee guida, indirizzate sia ai datori di lavoro pubblici che privati, con riferimento alla gestione della posta elettronica e dei metadati (es. giorno, ora, mittente, destinatario, oggetto etc.) dei lavoratori.
>> LEGGI GLI ARTICOLI DI LDP PER RIMANERE AGGIORNATO SULLE ULTIME NOVITÀ
Nell’ambito delle indagini condotte dal Garante sulla gestione dei dati personali sul luogo di lavoro, infatti, è emerso un rischio relativo alla raccolta preventiva e generalizzata dei metadati relativi all’utilizzo dell’e-mail aziendale da parte dei dipendenti.
Gli accorgimenti da adottare
In particolare, riprendendo i principi espressi in materia di protezione dei dati personali, il Garante ha avuto modo di precisare che:
- l’art. 4, co. 1, della L. n. 300/1970, stabilisce che gli strumenti con possibilità di controllo a distanza dei lavoratori possono essere impiegati solo (i) per determinate finalità (esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale) e (ii) con garanzie procedurali specifiche (accordo sindacale o, in mancanza, previa autorizzazione dell’Ispettorato del lavoro);
- le previsioni di cui all’art. 4, co. 1, della L. n. 300/1970, non si applicano “agli strumenti di registrazione degli accessi e delle presenze” così come “agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”, in quanto funzionali a consentire l’assolvimento degli obblighi derivanti dal contratto di lavoro, e cioè la presenza in servizio e la prestazione dell’attività lavorativa, tra cui può ritenersi ricompresa l’e-mail aziendale.
Ciò detto, il Garante ha precisato che:
- la raccolta e conservazione dei metadati per garantire il funzionamento della posta elettronica non può essere superiore di norma a poche ore o ad alcuni giorni, in ogni caso non oltre sette giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore;
- pertanto, se la raccolta dei metadati viene effettuata per periodi più lunghi e comporta un controllo indiretto delle attività dei lavoratori, è necessario rispettare la procedura di cui all’art. 4, co. 1, L. n. 300/1970 (accordo sindacale o, in mancanza, previa autorizzazione dell’Ispettorato del Lavoro);
- diversamente, la raccolta e la conservazione a lungo termine dei metadati relativi all’utilizzo della posta elettronica aziendale costituisce violazione della normativa sulla protezione dei dati personali in quanto può portare all’acquisizione di informazioni non rilevanti per la valutazione dell’attitudine professionale del lavoratore.
Entrata in vigore
Per soddisfare le numerose richieste di chiarimento ricevute, in data 27 febbraio 2024, il Garante ha deciso di posticipare l’entrata in vigore della direttiva e avviare una consultazione pubblica di 30 giorni in merito alle ipotesi che richiederebbero una conservazione dei metadati per un lasso di tempo superiore a quella ipotizzata nel documento di orientamento.
Pertanto, è necessario attendere l’esito della consultazione per comprendere quali saranno le novità effettivamente introdotte dal Garante con l’entrata in vigore della direttiva in esame e le conseguenti misure da adottare da parte dei datori di lavoro.
