il documento di indirizzo

Privacy in ufficio: le direttive del Garante per la gestione delle email



Indirizzo copiato

Il Garante privacy ha adottato un Documento di indirizzo per la gestione della posta elettronica sul lavoro, limitando la raccolta e conservazione dei metadati. La revisione impone un termine massimo di 21 giorni. I datori di lavoro devono aggiornare le pratiche privacy per conformarsi alle nuove direttive

Pubblicato il 31 lug 2024

Giovanna Boschetti

Counsel – Studio CBA



email_272455511

Il trattamento di dati personali sul luogo di lavoro è stato ed è, nel nostro ordinamento, oggetto di grande attenzione da parte del Garante per la protezione dei dati personali.

    Nel mese di dicembre 2023 il Garante ha, infatti, adottato un documento di indirizzo riguardante i programmi per la gestione della posta elettronica nel contesto lavorativo (il “Documento di Indirizzo”), sostanzialmente chiedendo ai titolari del trattamento e datori di lavoro di limitare la raccolta sistematica di metadati provenienti dalla posta elettronica o, comunque, di ridurre il periodo di conservazione degli stessi.

    Principi fondamentali enunciati nel documento di indirizzo

    Nel Documento di Indirizzo il Garante ha osservato che il tempo di conservazione dei metadati di posta elettronica dei dipendenti (ovvero delle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta quali indirizzo e-mail e l’indirizzo IP di mittente e destinatario, l’ora e la data di invio, l’oggetto del messaggio) avrebbero potuto essere conservati per un termine di 7 giorni, estendibili fino ad un massimo 9.

    Impatto del documento di indirizzo sulle politiche aziendali

    Il Documento di Indirizzo ha, inevitabilmente, sollevato molti interrogativi da parte degli operatori del settore e di tutti i titolari del trattamento, per aver declinato in modo puntuale un adempimento che sino a quel momento non era stato oggetto di attenzione e per cui è stata introdotta la previsione di un tempo di conservazione (c.d. data retention) stringente e limitato.

    Il Documento di Indirizzo del Garante del mese di dicembre è stato, così, sottoposto a consultazione pubblica e ad una riedizione del testo nel mese di giugno 2024: il Garante, in tale revisione dei contenuti del Documento di Indirizzo alla luce della consultazione pubblica, ha ribadito ed ulteriormente illustrato i principi già enunciati, estendendo il periodo di conservazione ritenuto “congruo” ad un termine massimo di 21 giorni.

    Le nuove forme di garanzia e di tutela dei lavoratori

    L’attenzione del Garante della Privacy al tema deve essere letta alla luce della costante interazione tra la situazione socio-economica e quella giuridica, che vede un progressivo aumento di tecnologie atte a monitorare le prestazioni lavorative mediante utilizzo di algoritmi, intelligenza artificiale o strumenti digitali, testimoniata – oltre che da un numero crescente di provvedimenti sanzionatori in ambito di illecito trattamento di dati personali sul luogo di lavoro – da interventi legislativi di diversa natura, quali, ad esempio, il D. Lgs. n. 104/2022 che, in attuazione delle disposizioni dettate dall’UE, ha introdotto nuovi obblighi di trasparenza giuslavoristica e di data protection, ed il D.Lgs. 23/24 sul whistleblowing che ha imposto nuove forme di garanzia e di tutela dei lavoratori alla riservatezza ed alla non discriminazione.

    Comunicazioni elettroniche sul posto di lavoro secondo i Garanti europei e il GDPR

    Le fonti legislative del Documento di Indirizzo hanno, del resto, profonde radici del nostro sistema e si pongono in continuità con il Parere 8/2001 sul trattamento dei dati personali nel contesto lavorativo (WP 48) riguardante la “vigilanza sulle comunicazioni elettroniche sul posto di lavoro” e con le “Linee guida del Garante per posta elettronica e internet” del 10 marzo 2007, in cui era stato affrontato anche il tema dei controlli c.d. “preterintenzionali” sull’attività lavorativa ed invitato i datori di lavori alla minimizzazione dei trattamenti ed alla trasparenza, di fatto rimettendo il tempo di conservazione dei dati a quello strettamente limitato al “perseguimento di finalità organizzative, produttive e di sicurezza”.

    Centrale, nell’attuale panorama legislativo, l’osservazione dei Garanti Europei formulata nel documento “Linee Guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679” adottate il 4 maggio 2020, in relazione al fatto che il consenso del dipendente non possa essere considerato valida base giuridica nei rapporti di lavoro, in considerazione dello squilibrio di potere risultante dal rapporto tra datore di lavoro e dipendente.

    I Garanti europei, facendo chiarezza sulla base giuridica da invocarsi con riferimento all’attivazione di sistemi di monitoraggio delle comunicazioni e delle prestazioni lavorative, hanno infatti dichiarato “non realistico” che un dipendente possa rispondere liberamente, “senza percepire pressioni”, alla richiesta del datore di lavoro di acconsentire a tali sistemi.

    L’art. 88 ed il Considerando 155 del GDPR, è bene ricordarlo, sottolineano la necessità di tutelare gli interessi specifici dei dipendenti e indica specificamente una possibilità di deroga nel diritto degli Stati membri, per cui ogni datore di lavoro con dipendenti in diverse sedi degli Stati Membri dovrà effettuare specifiche verifiche in ciascuna diversa realtà giuridica per la conformità del trattamento.

    Trattamento dei metadati: rivedere il modello di gestione della privacy

    Secondo il Documento di Indirizzo, tutti i datori di lavoro sono pertanto chiamati a verificare con la dovuta diligenza che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti consentano di modificare le impostazioni di base, impedendo la raccolta dei predetti metadati o limitando il periodo di conservazione degli stessi, disabilitando la conservazione di metadati eccedente rispetto alle prescrizioni del Garante.

    Coloro che hanno necessità di estendere il periodo di conservazione dei metadati dei dipendenti oltre il termine “congruo” di 21 giorni potrebbero farlo soltanto in presenza di particolari condizioni comprovando le specificità della realtà tecnica e organizzativa del Titolare, fermo restando che la generalizzata conservazione dei metadati potrà avvenire soltanto previo espletamento delle procedure di garanzia previste dalla disciplina di settore (art. 4 della l. 300/1970).

    Conclusioni

    Tutti i datori di lavoro sono chiamati, in definitiva, a rivedere, implementare ed aggiornare gli adempimenti privacy connessi ai rapporti di lavoro, quali informativa, l’aggiornamento del registro delle attività di trattamento e la valutazione di impatto in relazione ai sistemi considerati.

    EU Stories - La coesione innova l'Italia

    Tutti
    Social
    Iniziative
    Video
    Analisi
    Iniziative
    Al via il progetto COINS
    Eventi
    Un nuovo sguardo sulla politica di coesione dell'UE
    Iniziative
    Parte la campagna di comunicazione COINS
    Interviste
    Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
    Analisi
    La politica di coesione europea: motore della transizione digitale in Italia
    Politiche UE
    Il dibattito sul futuro della Politica di Coesione
    Mobilità Sostenibile
    L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
    Iniziative
    Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
    Politiche ue
    Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
    Finanziamenti
    Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
    Analisi
    Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
    Politiche UE
    Innovazione locale con i fondi di coesione: progetti di successo in Italia
    Iniziative
    Al via il progetto COINS
    Eventi
    Un nuovo sguardo sulla politica di coesione dell'UE
    Iniziative
    Parte la campagna di comunicazione COINS
    Interviste
    Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
    Analisi
    La politica di coesione europea: motore della transizione digitale in Italia
    Politiche UE
    Il dibattito sul futuro della Politica di Coesione
    Mobilità Sostenibile
    L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
    Iniziative
    Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
    Politiche ue
    Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
    Finanziamenti
    Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
    Analisi
    Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
    Politiche UE
    Innovazione locale con i fondi di coesione: progetti di successo in Italia

    Articoli correlati

    Articolo 1 di 4