email garante

Con il provvedimento n. 642 del 21/12/2023 il Garante Privacy ha emanato un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati, rivolto ai datori di lavoro pubblici e privati, con cui porta alla luce una situazione tanto diffusa quanto di potenziale rischio per l’effettiva tutela dei dati personali dei dipendenti.

Da alcuni accertamenti effettuati dall’Autorità Garante è, infatti, emerso che questi programmi e servizi informatici, forniti in modalità cloud, potrebbero comportare una raccolta sistematica di informazioni relative all’utilizzo della posta elettronica e una conservazione di tali dati prolungata nel tempo, senza che i datori di lavoro (utilizzatori del servizio) possano impostare concretamente quali dati raccogliere e per quanto tempo conservarli.

 

Di quali dati si parla?

L’analisi del Garante parte dalla conferma un principio consolidato in tema di dati personali dei lavoratori: il contenuto dei messaggi di posta elettronica, anche nell’ambito lavorativo, rientra nel concetto di corrispondenza che gode di garanzie di segretezza tutelate anche costituzionalmente. Questa premessa, e la relativa applicazione della normativa in materia di protezione dei dati personali, viene estesa a tutti i metadati, vale a dire: giorno, ora, mittente, destinatario, oggetto, dimensione dell’e-mail e tutto l’insieme di informazioni relative all’uso della posta elettronica, che complessivamente considerate possono determinare un rischio di monitoraggio sistematico dei dipendenti, ai quali si applicano anche le tutele previste dallo Statuto dei Lavoratori.

 

Cosa succede, allora?

In applicazione di principi fondamentali in materia (responsabilizzazione, privacy by design e by default, liceità e minimizzazione del trattamento), nonché dell’art. 4 della L. 300/1970 (St. Lav.), ai datori di lavoro viene quindi richiesto di verificare se tali programmi consentono loro di modificare le impostazioni di base, stabilendo in modo preventivo quali dati raccogliere (riducendoli solo a quelli effettivamente necessari) e limitandone il periodo di conservazione (il Garante stabilisce, come regola generale, un periodo massimo 7 giorni, prolungabili di altre 48 ore in casi particolari).

E se i sistemi informatici non consentono al datore di lavoro di impostare questi requisiti?

Allora l’utilizzo di questi strumenti sarà considerato una forma di controllo a distanza dei lavoratori e troverà applicazione lo Statuto dei Lavoratori. Ciò comporta la necessità di un accordo con le sigle sindacali o, in alternativa, di ottenere l’autorizzazione dell’Ispettorato del lavoro per poter utilizzare lecitamente questi sistemi.

 

Quali sono le conseguenze se non si applicano le indicazioni del Garante?

Il Garante ha ribadito che il titolare del trattamento anche quando ricorre a servizi o prodotti realizzati e forniti da soggetti terzi è tenuto a verificare la loro conformità alla normativa vigente.

Pertanto, l’utilizzo di servizi di gestione della posta elettronica in cloud, senza una adeguata implementazione delle misure indicate dal Garante, comporterebbe una violazione tanto delle norme in materia di tutela dei diritti dei lavoratori prevista con lo Statuto dei Lavoratori quanto di quelle in materia di protezione dei dati personali delle persone fisiche, con possibile applicazione di sanzioni anche importanti in caso di accertamento delle violazioni.

 

Le domande restano chiaramente tante…

Come verificare le impostazioni dei servizi?

Quali dati sarebbe ragionevole raccogliere?

Come procedere per presentare un’istanza ai sensi dell’art. 4 dello Statuto dei lavoratori?

E i datori di lavoro possono conservare quei dati internamente?

Con quali cautele e per quanto tempo?

Stiamo organizzando un webinar dedicato al tema per dissipare ogni eventuale dubbio e guidarvi attraverso gli step necessari. 

Vi terremo informati con un prossimo aggiornamento.

 

avvocato giuseppe croari bologna privacy

 

Ultimi aggiornamenti

password garante
Con il provvedimento n. 9962283 del 7 dicembre 2023, il Garante per la Protezione dei Dati Personali e l’Agenzia per la cybersicurezza nazionale (ACN) hanno emanato alcune Linee Guida in materia “Funzioni Crittografiche e Conservazione delle Password”. Successivamente, con un comunicato del 1° marzo 2024, il […]
intelligenza artificiale settimana lavorativa
Avv. Giuseppe Croari – Dott.ssa Francesca Gattarello Ad oggi sono notoriamente risaputi i vantaggi che l’intelligenza artificiale ha apportato anche nel mondo del lavoro (a tal proposito vi segnaliamo questo articolo). A ciò si aggiunga la maggiore consapevolezza che la società ha acquisito, negli ultimi anni, […]
contratto vendere webinar
Hai mai pensato al tuo contratto come a un’arma segreta per il successo? Probabilmente no. La maggior parte delle persone considera il contratto come un ostacolo burocratico, un documento noioso e pieno di “legalese” incomprensibile. Ma se ti dicessi che il tuo contratto può essere molto […]

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.