L’utilizzo dei metadati della posta elettronica nel contesto lavorativo
07 Febbraio 2024
Il Garante approfondisce, a seguito di ispezioni e provvedimenti sanzionatori e dell'aumento del numero di reclami/segnalazioni di dipendenti e associazioni sindacali, la tematica dell'utilizzo dei metadati relativi alla posta elettronica attraverso uno specifico atto di indirizzo rivolto ai datori pubblici e privati. I metadati costituiscono informazioni relativi all'utilizzo degli account di posta elettronica in uso ai dipendenti (ad esempio: giorno, ora, mittente, destinatario, oggetto e dimensione dell'e-mail) e sono utilizzati dalle imprese per fini di sicurezza informatica (es. monitoraggio di invio di allegati pesanti). L'intervento del Garante è di interesse in quanto richiama l'attenzione delle imprese e degli enti pubblici sul percorso di compliance GDPR e di azioni concrete da attuare: specifiche misure organizzative e tecniche. Il GDPR non blocca i processi aziendali di registrazione e conservazione dei log dei metadati della posta elettronica ma indica un percorso virtuoso ai titolari del trattamento in coerenza con il principio di responsabilizzazione consapevole “accountability”. I titolari del trattamento (imprese e pubbliche amministrazioni) sono tenuti a verificare, se i sistemi informatici e programmi, raccolgono metadati e devono attivarsi con i responsabili ICT e DPO per verificare con la dovuta diligenza che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti - specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service - consentano loro di modificare le impostazioni di base, impedendo la raccolta dei predetti metadati. I datori devono verificare la possibilità di configurazione dei relativi tempi di conservazione nel rigoroso rispetto dei principi privacy by design e privacy by default, ed effettuare la valutazione di impatto privacy. Le imprese devono verificare se sono state rispettate le disposizioni dell'art. 4 dello Statuto dei lavoratori e, in caso positivo e le relative procedure (accordo con il sindacato e, in caso di mancato accordo, l'autorizzazione della direzione territoriale del Ministero del lavoro). Secondo il Garante, l'attività di raccolta e conservazione dei soli c.d. metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, per un tempo che, all'esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione - affinché sia ritenuto applicabile il comma 2 dell'art. 4 della l. n. 300/1970 – non può essere superiore di norma a poche ore o ad alcuni giorni, in ogni caso non oltre sette giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore. Nel caso di conservazione oltre la durata dei sette giorni, occorre attivare la procedura ex art. 4 dello Statuto I titolari del trattamento sono tenuti al rispetto del principio di trasparenza nei confronti dei lavoratori e devono fornire ai lavoratori l'«adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli». Occorre comprendere come sarà applicato il documento del Garante nelle imprese, se saranno effettuati controlli e se il termine di sette giorni indicato nel provvedimento non sia troppo rigido in relazione alle complesse sfide delle imprese anche in materia di sicurezza informatica. (Fonte: Diritto e Giustizia) |
