Il Garante per la protezione dei dati personali ha al momento posto in stand-by la complicata questione della cancellazione dei metadati per aprire una consultazione pubblica e raccogliere le istanze ed osservazioni in merito a questo tema, (link della consultazione) in un’ottica che speriamo sia quella di riformulare quanto previsto dal suo provvedimento ed equiparare finalmente la casella di posta aziendale, o almeno i suoi metadati , a qualsiasi altro strumento di lavoro digitale presente in azienda. Per cui dovremo attendere la chiusura della consultazione per avere indicazioni definitive a riguardo . Nel frattempo vediamo cosa prevedeva il tanto contestato provvedimento.
Il documento
In estrema sintesi il provvedimento stabiliva le nuove regole per le aziende che usano programmi anche in modalità cloud per gestire la posta elettronica. Per rispettare la privacy dei lavoratori, i datori di lavoro non potranno tenere i metadati delle mail aziendali, come data, ora, mittente, destinatario, oggetto e dimensione, oltre i 7 giorni (+ 48 ore per esigenze particolari).
Nel documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, pubblicato il 21 dicembre ma comunicato nella newsletter del 6 febbraio, l’Autorità ha definito le regole per i datori di lavoro pubblici e privati. Il testo fornisce delle indicazioni alle imprese per evitare di utilizzare i dati dei propri dipendenti in contrasto con la normativa sulla privacy e con il principio del rispetto della libertà e della dignità dei lavoratori.
Chiariamo innanzitutto cosa si intende con il termine METADATI della posta elettronica: il giorno, l’ora, il mittente, il destinatario, l’oggetto e la dimensione dell’e-mail stessa.
Con il provvedimento in questione il Garante chiede testualmente “ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base”. L’obiettivo è chiaro: impedire la raccolta sistematica dei metadati, limitando il periodo di conservazione degli stessi “ad un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore”. Sempre in base alle norme del Garante , se si vuole invece tenere i metadati delle email mandate e ricevute dai propri dipendenti oltre questo limite, per motivi organizzativi, produttivi o di protezione del patrimonio anche informativo dell’azienda (ad esempio, per particolari esigenze di sicurezza dei sistemi), bisogna accordarsi con i sindacati o ottenere l’autorizzazione dall’ispettorato del lavoro, esattamente come per la videosorveglianza. Altrimenti, si potrebbe incorrere in una violazione della legge per “controllo a distanza” dell’attività del lavoratore.
L’Autorità richiama poi l’obbligo di informativa che incombe, come noto, sul titolare del trattamento/datore di lavoro dal momento che gli interessati/lavoratori hanno diritto di avere una “chiara rappresentazione del complessivo trattamento effettuato”, e che, attenzione, non si limita al solo contesto della mail aziendale, ma riguarda anche tutti gli altri applicativi in uso in azienda, del cui funzionamento il dipendente deve essere pienamente consapevole.
L’applicabilità dello statuto dei lavoratori
Con riguardo poi alla disciplina di settore in materia di controlli a distanza, secondo quanto previsto dall’art. 4, comma I, della L. 300/1970, come modificato dal D.lgs. 151/2015, (Jobsact) , si individuano tassativamente le finalità (organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale) per le quali “gli strumenti, dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori“, possono essere impiegati nel contesto lavorativo. Mentre in generale tutti gli applicativi digitali adottati dall’azienda esulano dalla necessità di accordi sindacali o autorizzazioni, la mail , per la sua natura di strumento sul quale sussiste una legittima aspettativa di segretezza in relazione ai messaggi oggetti di corrispondenza, necessita di una attenzione particolare e per questo, ove non si potesse garantire la cancellazione dei metadati entro i 9 gg, richiede la definizione di un accordo sindacale o di una autorizzazione all’ispettorato del lavoro.
Le problematiche
A fronte di questo provvedimento si aprono però alcune criticità che speriamo vengano risolte nel breve:
- eliminare i metadati vuol dire privarsi di log necessari a scopi investigativi (analisi forense o per indagini di sicurezza informatica), richiesti invece dalla conformità GDPR
- al momento i principali fornitori di servizi di posta in cloud non prevedono la possibilità di stabilire una data retention di 7 giorni
- questo vuol dire che tutti devono ricorrere ad accordi sindacali o all’autorizzazione dell’ispettorato del lavoro?
- chi non ha accesso ai metadati perchè la casella di posta è gestita da un fornitore terzo esterno all’azienda su piattaforme terze, deve comunque procedere con l’iter autorizzativo?
Attendiamo fiduciosi puntuali chiarimenti
Lascia un commento