Cronaca

Il Garante della privacy: “I datori di lavoro non possono conservare i dati delle mail aziendali per più di 7 giorni”

La raccolta dei metadati delle mail aziendali, come giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail, va limitata a un massimo di 7 giorni che in caso di “comprovate esigenze” possono salire a 9. I datori di lavoro che abbiano l’esigenza di trattarli per più tempo dovranno passare per un accordo sindacale o l’autorizzazione dell’ispettorato del lavoro, perché l’estensione del periodo di conservazione può comportare un “indiretto controllo a distanza” dell’attività del lavoratore. A dirlo è il Garante della privacy, in un provvedimento del 21 dicembre ma reso pubblico nella newsletter di martedì.

Il documento nasce a seguito di accertamenti effettuati dall’Autorità dai quali è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail). In alcuni casi è emerso anche che i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione.

Il Garante chiede quindi ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione ad un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore. Periodo considerato congruo, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore. I datori di lavoro che per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare (in particolare, ad esempio, per specifiche esigenze di sicurezza dei sistemi) avessero necessità di trattare i metadati per un periodo di tempo più esteso, dovranno espletare le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro). L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore.