Dal Garante della Privacy arriva un nuovo documento di indirizzo relativo all’utilizzo di Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo, con specifico riferimento all’ utilizzo dei metadati . [ Provvedimento 642/2023 ]
Il documento è rivolto ai titolari del trattamento e intende fornire importanti indicazioni, sul piano tecnico e organizzativo, al fine di prevenire l’impiego di programmi e servizi di gestione della posta elettronica in ambito lavorativo, in assenza di adeguati presupposti di liceità, e in maniera non conforme ai principi che regolano la protezione dei dati , nonché nel rispetto del quadro di garanzie in materia di libertà e dignità riconosciuto nei contesti lavorativi.
Nell’ambito di accertamenti condotti dal Garante è emerso sempre più di frequente che l’utilizzo di programmi e servizi informatici per la gestione della posta elettronica, commercializzati dai fornitori in modalità cloud, possano raccogliere in modo generalizzato e con impostazioni predefinite i metadati relativi all’utilizzo di account di posta elettronica in utilizzo ai dipendenti ( trattasi di : giorno ; ora ; mittente ; destinatario ; oggetto e dimensione dell’ email ). Ciò talvolta ponendo limitazioni al datore di lavoro in ordine alla possibilità di modificare le impostazioni di base del programma e rendendo impossibile disabilitare la raccolta sistematica dei dati o di ridurre il periodo di conservazione.
A tal riguardo il Garante suggerisce ai datori di lavoro di verificare con la dovuta diligenza che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente nel caso in cui si tratti di prodotti forniti in modalità cloud o as a service - consentano di modificare le impostazioni di base, impedendo la raccolta dei predetti metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di sette giorni, estensibile di ulteriori 48 ore in presenza di particolari condizioni.
Quando parliamo di servizi “ cloud “ e “ as a service “ ci riferiamo nel primo caso a un sistema di gestione della messaggistica aziendale basato su dati che fanno capo a un server web, quindi dematerializzato e non più localizzato in un server fisico. Nel secondo caso si fa riferimento ad un servizio d'applicazione software di gestione delle email erogato da un fornitore via web in cui l'utente ha accesso a un'interfaccia di utilizzo, senza la necessità di alcun download applicativo o installazione.
Controlli sulla posta elettronica dei dipendenti : criticità tra diritto del lavoro e privacy
Nel caso in cui i trattamenti di dati personali in questione si dovessero comunque rendere necessari per il perseguimento di esigenze organizzative o produttive, ai datori di lavoro non resta altro che espletare le richiamate procedure di garanzia previste dalla disciplina di settore (art. 4 della l. 300/1970), fornire ai lavoratori una specifica informativa prima di dare inizio al trattamento ( art. 5, par. 1, lett. a) 12 e 13 del Reg. UE ) o, come ultima alternativa, cessare l’utilizzo di tali programmi e servizi informatici. Il Garante sottolinea inoltre che, nelle more dell’eventuale espletamento delle procedure di garanzia, i predetti metadati non possono essere comunque utilizzati.
IL Garante esorta infine i produttori di software e fornitori di servizi affinché, in fase di sviluppo e progettazione, tengano conto della predisposizione di idonee misure necessarie ad assicurare il rispetto della privacy.
Controlli automatizzati , dal Garante Privacy chiarimenti sul DL Trasparenza
Fonte: Garante della Privacy