• Tax

Il nuovo provvedimento del Garante della Privacy sui programmi di gestione della posta elettronica nel contesto lavorativo e sulla conservazione dei metadati

Il Garante della Privacy, con il provvedimento n. 642 del 21/12/2023, ha emesso indicazioni riguardanti l'utilizzo dei programmi e servizi informatici per la gestione della posta elettronica da parte dei datori di lavoro, sia pubblici che privati, venduti da fornitori in modalità cloud o as-a-service.

Il provvedimento è stato emesso in seguito a verifiche che hanno evidenziato il rischio che tali programmi possano raccogliere automaticamente e in modo generalizzato i metadati relativi all'utilizzo degli account di posta elettronica dei dipendenti, conservandoli per lunghi periodi.

Il Garante ha indicato le azioni che i datori di lavoro devono intraprendere per evitare trattamenti non conformi ai regolamenti sulla privacy:

  • Verificare che i programmi consentano la modifica delle impostazioni per limitare la raccolta e conservazione dei metadati, estendendo il periodo massimo di conservazione a sette giorni, estensibili di ulteriori 48 ore in casi specifici, oppure cessando la raccolta.
  • Se i programmi non consentono questa modifica, devono essere seguite le procedure previste dall'art. 4 dello Statuto dei Lavoratori, che richiedono un accordo sindacale o l'autorizzazione dell'Ispettorato del lavoro per estendere il periodo di conservazione dei dati.
  • È necessario garantire la trasparenza informando i lavoratori prima di iniziare il trattamento dei loro dati personali.

Il datore di lavoro potrebbe essere ritenuto responsabile in vari casi:

  • Se non segue le procedure di garanzia previste dall'art. 4 dello Statuto dei Lavoratori quando la conservazione dei dati supera i sette giorni.
  • Se acquisisce informazioni personali o opinioni degli interessati attraverso i metadati della corrispondenza.
  • Se i tempi di conservazione dei metadati non sono proporzionati alle finalità legittime.
  • Se viola i principi di protezione dei dati, come quello della progettazione per impostazione predefinita e della responsabilizzazione.

Il provvedimento solleva problematiche organizzative per i datori di lavoro riguardo ai tempi necessari per stipulare un accordo sindacale, sottolineando che, durante questo periodo, i metadati non possono essere utilizzati.

Il Garante non si pronuncia sulle conseguenze per le aziende in caso di trattamento "eccessivo" durante questo periodo. La responsabilità del datore di lavoro rimane un'area di discussione aperta.

Per approfondire la lettura visita la pagina dedicata


Eventi in evidenza
  • Information Technology

CAIO - Chief Artificial Intelligence Officer

Martedì 23 settembre si terrà il Chief AI Officer, il primo evento italiano dedicato alla responsabilità e all'implementazione dell'AI guidate dal Chief AI Officer a cura di iKN Italy.Nonostante la rapida accelerazione dell’AI, nel 2025 la governance resta una priorità strategica: il percorso verso un uso sicuro, trasparente e conforme è ancora in fase di definizione.I temi chiave di questa edizione saranno:Con il rischio di FOMO sull’AI, stiamo davvero comprando soluzioni senza una chiara comprensione dei benefici? L’Agentic AI è la svolta per l’ottimizzazione dei processi o l’ennesima buzz word? Se è vero che “gli USA inventano, i cinesi copiano e gli europei normano” siamo destinati a essere una potenza di seconda classe a causa dell’AI Act? Il valore dell’AI oggi è solo economico o è anche reputazionale?  La soluzione più efficace è esternalizzare le competenze o portarsi on board il know how? PwC Italia è Main Sponsor dell'iniziativa.Interverrà Francesco Mesiano, Director PwC Italia, Artificial Intelligence dalle ore 08:45 alle ore 10:00 nel panel: Adozione dell'AI in azienda: come cambiano i ruoli e i flussi di lavoro?Agenda dettagliata e modalità di iscrizione sono disponibili al seguente link

Nhow Hotel Milano - Via Tortona 35, Milano
Il nostro Manifesto

Condividere esperienze, consigli utili e storie di vita

Iscriviti Ora