Il Garante della privacy prescrive con un provvedimento (documento di indirizzo n. 642 del 21/12/2023), rivolto a tutti i datori di lavoro, privati e pubblici, di verificare lo strumento che gestisce la loro posta elettronica. Inoltre, adotta un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati.
Il provvedimento sopracitato nasce a seguito di accertamenti effettuati dall’Autorità dai quali è emerso un uso diffuso da parte di Pubbliche Amministrazioni e imprese di programmi e servizi informatici per la gestione delle e-mail, venduti da fornitori anche in modalità cloud, i quali, per impostazione predefinita, raccolgono massivamente ancora prima che la mail arrivi al destinatario e conservano per un lungo periodo i cosiddetti metadati relativi agli account di e-mail assegnate ai dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail). Inoltre, alcuni gestionali non permettono al datore di lavoro di modificare le impostazioni di base rendendo così impossibile disabilitare la raccolta sistematica dei metadati o ridurne il periodo di conservazione. Tutto ciò implica un problema di rispetto del GDPR (Regolamento Ue sulla privacy 2016/679) e dello Statuto dei lavoratori.
Con il documento il Garante chiede quindi ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione ad un massimo di 7 giorni (estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore). Qualora i datori di lavoro per esigenze organizzative, produttive o di tutela del patrimonio anche informativo del titolare, avessero necessità di trattare i metadati per un periodo di tempo più esteso, dovranno richiedere un accordo sindacale o l’autorizzazione dell’Ispettorato (ai sensi dell’articolo 4 della legge 300/1970, Statuto dei lavoratori) poiché la conservazione massiva per un indeterminato arco di tempo di questi metadati viola la riservatezza dei lavoratori.
In mancanza di esigenze organizzative o produttive o in caso di omessa applicazione della legge 300/1970, la raccolta dei metadati è illegittima.
C.T.