E-mail dei dipendenti, il Garante privacy avvia una consultazione pubblica

Tratto da www.garanteprivacy.it – Newsletter del 27/02/2024

Per rispondere alle numerose richieste di chiarimenti ricevute, il Garante ha dunque deciso di differire l’efficacia del documento di indirizzo e promuovere una consultazione pubblica di 30 giorni sulle forme e modalità di utilizzo che renderebbero necessaria una conservazione dei metadati superiore a quella ipotizzata nel documento di indirizzo.

Come già comunicato il 6 febbraio scorso nel nostro blog, il Garante, per richiamare l’attenzione su alcuni aspetti che potrebbero essere in contrasto con la disciplina di protezione dei dati e le norme a tutela del lavoratore, ha recentemente pubblicato il documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, con cui – in particolare – viene indicato in 7 giorni, estensibili di 48 ore per comprovate esigenze, il periodo di conservazione dei metadati degli account dei servizi di posta elettronica. 

Datori di lavoro pubblici e privati, esperti della disciplina di protezione dei dati e tutti i soggetti interessati avranno a disposizione 30 giorni, a partire dalla pubblicazione in Gazzetta ufficiale, per inviare al Garante le proprie osservazioni, i commenti, le informazioni, le proposte e tutti gli elementi ritenuti utili, tramite posta ordinaria o alle caselle protocollo@gpdp.it oppure protocollo@pec.gpdp.it

27 Febbraio 2024

Lavoro: dal Garante Privacy nuove tutele per la email dei dipendenti. Varato un Documento di indirizzo sulla conservazione dei metadati

Tratto da www.garanteprivacy.it – Newsletter del 06/02/2024

I datori di lavoro pubblici e privati che per la gestione della posta elettronica utilizzano programmi forniti anche in modalità cloud da oggi hanno a disposizione nuove indicazioni utili a prevenire trattamenti di dati in contrasto con la disciplina sulla protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori.

Il Garante per la protezione dei dati personali ha infatti adottato un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati.

Il documento nasce a seguito di accertamenti effettuati dall’Autorità dai quali è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email). In alcuni casi è emerso anche che i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione.

Con il documento odierno il Garante chiede quindi ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione ad un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore. Periodo considerato congruo, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore.

I datori di lavoro che per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare (in particolare, ad esempio, per specifiche esigenze di sicurezza dei sistemi) avessero necessità di trattare i metadati per un periodo di tempo più esteso, dovranno espletare le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro). L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore.

6 Febbraio 2024

Blog & News

Categorie