Le ultime linee di indirizzo del Garante per la protezione dei dati personali impongono alle Aziende un controllo delle impostazioni di programmi e servizi di posta elettronica aziendale, erogati anche in modalità cloud oppure as-a-service, al fine di prevenire l’impiego di metadati relativi all’utilizzo degli account in uso ai dipendenti, in assenza di adeguati presupposti di liceità. Vediamo insieme i dettagli del Provvedimento e i suoi futuri risvolti.

Il Documento di Indirizzo adottato dall’Autorità Garante è destinato ai datori di lavoro pubblici e privati che, assumendo decisioni in ordine a finalità, mezzi e misure di sicurezza del trattamento, assumono la veste di Titolari del trattamento.

La gestione della posta elettronica è sempre stata un argomento annoso per le Aziende, stante le molteplici pronunce del Garante sull’argomento, in aggiunta alle risalenti “Linee guida del Garante per posta elettronica e Internet” del 1° marzo 2007, n. 13” che qualificano la posta elettronica nominale aziendale come domicilio informatico del dipendente e, in quanto tale, protetto da tutele costituzionalmente garantite. Col provvedimento in esame si conferma un ulteriore tassello in materia di protezione, in quanto non solo il contenuto della mail è costituzionalmente garantito da segretezza bensì anche i dati esteriori alle comunicazioni sono altrettanto protetti (artt. 2 e 15 Cost.).

La finalità del provvedimento consiste nell’individuazione di best practice per i datori di lavori, al fine di evitare trattamenti illeciti in quanto in contrasto con la Costituzione, la normativa in materia di protezione dei dati (art. 88 del GDPR, artt. 113 e 114 del Codice Privacy) e le disposizioni giuslavoristiche (Legge 300 del 1970). In altri termini, potrebbe configurarsi un controllo indiretto, a distanza, del lavoratore, in assenza di un’idonea base giuridica, e il rischio di una raccolta sistematica, preventiva e generalizzata di metadati, relativi agli account affidati ai dipendenti. Il Provvedimento interessa sia la fase di raccolta che della conservazione dei metadati.

Metadati della posta elettronica

Andiamo a scoprire insieme alcune nozioni utili e prodromiche alla comprensione del provvedimento.

Che cosa si intende per metadati della posta elettronica? Sono delle stringhe descrittive che indicano informazioni relative alle sole caratteristiche dell’e-mail. Tipicamente: giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail. Ne sono escluse, quindi, il contenuto e gli allegati.

Perché sono importanti? A cosa servono? L’utilizzo dei metadati ci permette di visionare, ricercare e accedere a informazioni utili per l’individuazione della causa da cui è scaturito un incidente relativo alla sicurezza delle informazioni oppure un data breach.

Adempimenti a carico dei datori di lavoro

Consci delle nozioni base, utili alla comprensione del perimetro di applicazione del provvedimento, è bene comprendere nel dettaglio gli adempimenti a carico dei datori di lavoro.

  • Verifica delle impostazioni dei programmi e servizi informatici di posta elettronica (es. Google Workspace o Microsoft 365)

Le Organizzazioni dovranno verificare i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service – per modificare le impostazioni di base, al fine di impedire la raccolta di metadati o limitarne il periodo di conservazione.

Nell’impostare la regola di conservazione da applicare ai metadati dei messaggi di posta elettronica, si devono tenere in considerazione le seguenti tempistiche:

  • poche ore o alcuni giorni e, in ogni caso, non oltre 7 giorni, in assenza di comprovate e documentate esigenze;
  • 9 giorni, in presenza di comprovate esigenze

Allo scadere di tale termine si procederà, in automatico, all’eliminazione di detti metadati. Tale attività comporterà l’aggiornamento della procedura o policy legata alla conservazione dei dati personali, adottata dall’Azienda

  • Accordo sindacale o Autorizzazione all’Ispettorato del lavoro

Qualora il datore di lavoro reputi il termine massimo di 9 giorni insufficiente e inadeguato alle esigenze organizzative, produttive o di tutela del patrimonio informativo, dovrà coinvolgere le rappresentanze sindacali (unitarie, se presenti, oppure aziendali. In mancanza, con le associazioni sindacali territorialmente competenti) per il raggiungimento di un accordo o, in subordine, l’Ispettorato del Lavoro, per l’emissione di un’autorizzazione ad hoc.

  • Informazione ai dipendenti

Il Garante ricorda ai datori di lavoro di informare i lavoratori, in ordine al trattamento dei propri dati personali, legati all’utilizzo dei metadati, in apposita informativa ex art. 13 del GDPR nonché di renderli edotti delle modalità d’utilizzo degli strumenti tecnologici mediante apposito documento informativo.

  • Redazione della Valutazione d’impatto DPIA

Tra i promemoria forniti dal Garante, si ricorda la necessità di redigere una valutazione d’impatto (cd. DPIA) ex art. 35 del GDPR, stante la presenza di un rischio elevato per i diritti e le libertà dei lavoratori, derivante dal trattamento relativo alla raccolta e memorizzazione dei metadati relativi all’impiego della posta elettronica.

 

Il Provvedimento del 21 dicembre 2023 porta con sé adempimenti onerosi per le Organizzazioni. Stante le conseguenze derivanti si consiglia di attendere auspicati chiarimenti da parte delle Autorità preposte, come già preannunciato dal Ministero del Lavoro e dall’Ispettorato Nazionale del Lavoro.

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!