Il nuovo provvedimento del Garante della Privacy sui programmi di gestione della posta elettronica nel contesto lavorativo e sulla conservazione dei metadati
Il Garante della Privacy, con il provvedimento n. 642 del 21/12/2023, ha emesso indicazioni riguardanti l'utilizzo dei programmi e servizi informatici per la gestione della posta elettronica da parte dei datori di lavoro, sia pubblici che privati, venduti da fornitori in modalità cloud o as-a-service.
Il provvedimento è stato emesso in seguito a verifiche che hanno evidenziato il rischio che tali programmi possano raccogliere automaticamente e in modo generalizzato i metadati relativi all'utilizzo degli account di posta elettronica dei dipendenti, conservandoli per lunghi periodi.
Il Garante ha indicato le azioni che i datori di lavoro devono intraprendere per evitare trattamenti non conformi ai regolamenti sulla privacy:
- Verificare che i programmi consentano la modifica delle impostazioni per limitare la raccolta e conservazione dei metadati, estendendo il periodo massimo di conservazione a sette giorni, estensibili di ulteriori 48 ore in casi specifici, oppure cessando la raccolta.
- Se i programmi non consentono questa modifica, devono essere seguite le procedure previste dall'art. 4 dello Statuto dei Lavoratori, che richiedono un accordo sindacale o l'autorizzazione dell'Ispettorato del lavoro per estendere il periodo di conservazione dei dati.
- È necessario garantire la trasparenza informando i lavoratori prima di iniziare il trattamento dei loro dati personali.
Il datore di lavoro potrebbe essere ritenuto responsabile in vari casi:
- Se non segue le procedure di garanzia previste dall'art. 4 dello Statuto dei Lavoratori quando la conservazione dei dati supera i sette giorni.
- Se acquisisce informazioni personali o opinioni degli interessati attraverso i metadati della corrispondenza.
- Se i tempi di conservazione dei metadati non sono proporzionati alle finalità legittime.
- Se viola i principi di protezione dei dati, come quello della progettazione per impostazione predefinita e della responsabilizzazione.
Il provvedimento solleva problematiche organizzative per i datori di lavoro riguardo ai tempi necessari per stipulare un accordo sindacale, sottolineando che, durante questo periodo, i metadati non possono essere utilizzati.
Il Garante non si pronuncia sulle conseguenze per le aziende in caso di trattamento "eccessivo" durante questo periodo. La responsabilità del datore di lavoro rimane un'area di discussione aperta.
Per approfondire la lettura visita la pagina dedicata
Eventi in evidenza
Top 500 Liguria
Guardare al futuro significa comprendere come persone, tecnologie e dinamiche globali stiano ridisegnando opportunità e modelli di crescita per le imprese e, per farlo, occorre mettere a fattor comune competenze, esperienze e prospettive differenti. PwC Italia, in collaborazione con la Repubblica Genova e l’Università di Genova, organizza venerdì 10 luglio alle ore 9.15 a bordo della nave Costa Toscana la decima edizione di Top 500 Liguria. Dopo le tappe di Levante e Ponente, il percorso Road to Top 500 Liguria si conclude con un momento di sintesi, confronto e visione strategica. Un’occasione per celebrare dieci anni di un’iniziativa che, attraverso l’analisi delle prime 500 imprese liguri, ha saputo interpretare l’evoluzione dell’economia regionale e anticiparne le traiettorie future. L'incontro riunirà imprese, istituzioni e mondo accademico intorno alle grandi sfide che attendono il sistema produttivo regionale: dall’innovazione tecnologica alla centralità del capitale umano e delle competenze, fino agli impatti dei cambiamenti geopolitici sull’economia della Liguria. Un confronto aperto tra i protagonisti dell’economia del territorio per leggere il presente, individuare nuove opportunità e tracciare insieme, con consapevolezza e ambizione, le rotte future. L’evento è riservato a imprenditori e manager del territorio ligure. Le iscrizioni chiuderanno giovedì 9 luglio alle ore 10.