Posta elettronica nel contesto lavorativo e metadati delle email, aggiornate le indicazioni del Garante Privacy
Dal Garante della Privacy un documento di indirizzo, aggiornato e modificato a seguito della consultazione pubblica cui lo stesso è stato sottoposto, sui programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e il trattamento dei metadati delle email dei dipendenti.
Un documento adottato con provvedimento dello scorso 6 giugno, che non reca nuovi adempimenti e prescrizioni a carico dei titolari del trattamento, ma che vuole offrire una “ricostruzione sistematica delle disposizioni applicabili in tale specifico ambito, alla luce di alcune precedenti decisioni dell’Autorità” per richiamare l’attenzione “su alcuni punti di intersezione tra la disciplina di protezione dei dati e le norme che stabiliscono le condizioni per l’impiego di strumenti tecnologici nei luoghi di lavoro”.
Forniti, inoltre, chiarimenti sull’ambito oggettivo di applicazione del documento e sulla definizione di metadato che corrisponde tecnicamente “alle informazioni registrate nei log generati dai sistemi di server di gestione e smistamento della posta elettronica e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client”. Il Garante specifica che i metadati non vanno confusi “con le informazioni contenute nei messaggi di posta elettronica nella loro body-part (corpo del messaggio) o anche in essi integrate a formare l’envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici”.
Approfondite, poi, la normativa in materia di protezione dei dati personali e la disciplina di settore in materia di controlli a distanza. Rispetto a quest’ultima, il Garante richiama l’articolo 4, comma 1, della L. n. 300/70, modificato dal D.Lgs. n. 151/15 che individua le finalità per le quali gli strumenti, dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati nel contesto lavorativo, stabilendo precise garanzie. Garanzie che non si applicano “agli strumenti di registrazione degli accessi e delle presenze”, così come “agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” (comma 2 della norma citata). In base alle disposizioni richiamate, l’attività di raccolta e conservazione “dei soli metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica non dovrebbe superare i 21 giorni”, diversamente da quanto avviene per la “generalizzata raccolta e conservazione dei log di posta elettronica” che richiede l’esperimento delle garanzie previste dall’articolo 4, comma 1, dello Statuto dei Lavoratori.
Esaminate, poi, le possibili responsabilità per i datori di lavoro pubblici e privati e richiamati i principi di correttezza e trasparenza, di limitazione della conservazione e protezione dei dati e il principio di responsabilizzazione.
Fonte: Fondazione Studi Consulenti del Lavoro
