Blog

Metadati delle e-mail dei dipendenti: al via la consultazione pubblica del Garante

Pubblicato da Francesco Malaguti in Casi Studio, Privacy, Risk Management & Compliance con Nessun commento

Tramite un comunicato stampa del 22 febbraio 2024, il Garante per la Protezione dei Dati Personali ha dichiarato l’avvio di una consultazione pubblicasulla congruità del termine di conservazione dei metadati degli account dei servizi di posta elettronica dei lavoratori”, come si legge nel comunicato stesso.

Tale consultazione si riferisce al recente documento di indirizzo adottato dal Garante e denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (Provvedimento del 21 dicembre 2023, n. 642, doc. web n. 9978728) dove, nello specifico, vengono fornite ai datori di lavoro del comparto pubblico e privato precise indicazioni circa la conservazione dei metadati relativi agli account di posta elettronica dei propri lavoratori.

Metadati: le indicazioni del Garante Privacy

I metadati sono dati che forniscono informazioni aggiuntive su altri dati. Nel contesto della corrispondenza elettronica, tali elementi vengono raccolti in automatico dagli applicativi per la gestione delle mail che operano in Cloud o As-A-Service, e riguardano, per esempio:

• il giorno e l’ora;

• il mittente e il destinatario;

• l’oggetto e la dimensione della e-mail.

Sebbene i metadati non concernano né il contenuto, né gli eventuali allegati presenti nelle e-mail, queste informazioni, se analizzate nel loro insieme, possono determinare un rischio di monitoraggio sistematico dei dipendenti; per questo motivo il Garante ha indicato che la raccolta generalizzata e la conservazione dei metadati della posta elettronica aziendale da parte del datore di lavoro “non può essere superiore di norma a poche ore o ad alcuni giorni, in ogni caso non oltre 7 giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore(provvedimento del 21 dicembre 2023, n. 642, doc. web n. 9978728). I datori di lavoro che, per necessità organizzative o produttive, abbiano l’esigenza di trattare i metadati per un periodo prolungato sono tenuti ad attuare le procedure di sicurezza stabilite dallo Statuto dei lavoratori (accordo sindacale o l’ottenimento di un’autorizzazione dall’Ispettorato del Lavoro).

“Stop” momentaneo al provvedimento: il Garante avvia una consultazione pubblica

A fronte dei dubbi e delle numerose richieste di chiarimenti sull’impostazione e i contenuti del predetto documento di indirizzo, il Garante ha avviato una consultazione pubblica della durata di trenta giorni che, di fatto, ne sospende temporaneamente l’efficacia. Come riportato nel provvedimento, scopo della consultazione è quello di “acquisire osservazioni e proposte riguardo alla congruità, in relazione alle finalità perseguite dai datori di lavori pubblici e privati, del termine di conservazione dei metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica e relativi alle operazioni di invio, ricezione e smistamento dei messaggi di posta elettronica e, più in generale, alle forme e modalità di utilizzo di tali metadati che ne renderebbero necessaria una conservazione superiore a quella ipotizzata nel citato documento di indirizzo” (provvedimento del 22 febbraio 2024, n. 124, doc. web. 9987885)

Entro trenta giorni dalla data di pubblicazione del documento in Gazzetta Ufficiale, sarà, quindi, possibile inviare al Garante osservazioni, commenti, informazioni, proposte e tutti gli altri elementi ritenuti utili; sulla base dei quali l’Autorità valuterà la necessità o meno di adottare ulteriori determinazioni rispetto a quanto già disposto.

Risulta, in ogni caso, evidente la necessità per qualsiasi azienda di sottoporre al vaglio l’uso, l’eventuale abuso e le possibilità di monitoraggio da parte del Datore di Lavoro della posta elettronica aziendale, tema da sempre nel mirino delle Autorità. Per questo è possibile rivolgersi direttamente ad Artea: la Società è a disposizione, con i propri specialisti, per rispondere ai Vostri dubbi, domande o chiarimenti in materia.

Scritto da Francesco Malaguti

Francesco Malaguti

Consulente Privacy e Data Protection Officer qualificato, da diversi anni collabora con Artea e con la partner AD&D Consulting. Tra i valori che più lo contraddistinguono spiccano Il forte orientamento alla cura per i dettagli e alla diplomazia, nel costruire rapporti di fiducia con i clienti.

Invia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

  • ARTEA S.r.l.
    Bologna, via Saragozza,185 051 6146706 info@artea.it