E-mail dipendenti, nuove regole del Garante: conservate oltre 7 giorni solo con accordo
Con un documento del 6 febbraio, l'Autorità per la Privacy ha fissato paletti stringenti per i datori di lavoro: le aziende si devono dotare di sistemi per la gestione della posta elettronica che permettano di eliminare i metadati della corrispondenza dei lavoratori entro una settimana. Il limite si può allungare, ma solo di 48 ore, e solo con accordo sindacale o con autorizzazione dell'Ispettorato del Lavoro. Si vuole limitare il controllo dei datori sui lavoratori, ma l'applicazione sarà problematica
- Si aprono nuove difficoltà nella gestione aziendale per i datori di lavoro pubblici e privati: il Garante per la Privacy ha fissato regole molto restrittive in tema di conservazione della mail dei dipendenti
- Con un documento del 6 febbraio, il Garante limita a 7 giorni il lasso di tempo massimo entro cui si possono conservare i metadati relativi all'utilizzo degli account di posta elettronica dei dipendenti
- Significa che ricadono dentro i nuovi paletti informazioni come giorno, ora, mittente, destinatario, oggetto e dimensione dell'e-mail
- Le nuove regole vogliono prevenire il trattamento dei dati in contrasto con la disciplina sulla protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori
- Il documento parte da una serie di accertamenti con cui l’Autorità ha rilevato che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare - per impostazione predefinita, in modo preventivo e generalizzato - i metadati relativi all'utilizzo degli account di posta elettronica dei dipendenti
- È emerso che in certi casi i sistemi utilizzati non consentono nemmeno ai datori di lavoro di disabilitare la raccolta dei dati o di ridurre il periodo di conservazione. A loro si chiede quindi di verificare che i programmi di gestione della posta elettronica utilizzati dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) lo permettano
- Il massimo di 7 giorni può essere esteso solamente per altre 48 ore e solo “in presenza di comprovate esigenze”
- Si rischia quindi di venire sanzionati, sia sotto il profilo penale che sotto quello amministrativo, se non si seguono le nuove regole
- Adesso bisogna vedere se e come si riuscirà effettivamente ad applicare quanto stabilito dal documento, perché - anche se l'intento è quello di disincentivare il controllo dei dipendenti da parte dei datori - si rischia la perdita di informazioni rilevanti per la gestione aziendale