Posta elettronica dipendenti e Privacy: linee guida aggiornate 2024

Con provvedimento n. 364 del 6 giugno 2024, del Garante per la  privacy sono state pubblicate le nuove linee guida in tema di protezione dei dati personali  nella gestione della posta elettronica dei dipendenti . Si tratta in particolare  del Documento di indirizzo  “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” 

Nel Documento viene illustrata la normativa vigente  con particolare riguardo alle possibili responsabilità per i datori di lavoro pubblici e privati .

Da segnalare una importante  novità rispetto  al recente documento del 6 febbraio 2024  sullo stesso tema che aveva creato molto allarme tra i datori di lavoro a causa delle forti restrizioni temporali  sulla gestione delle mail dei dipendenti

In particolare  nelle nuove linee guida che sostituiscono le precedenti, viene  chiarito che per metadati  si  intendono le  informazioni  generate automaticamente dai server di gestione della posta elettronica aziendale riguardanti invii, ricezione e smistamento e che   possono comprendere gli indirizzi email del mittente e del destinatario, indirizzi IP,  orari di invio, di trasmissione o di ricezione, dimensioni e presenza di allegati.

Sono questi dati e non  il contenuto nel corpo delle mail  né la cosiddetta" envelope" che vanno eliminati con le scadenze molto restrittive (al massimo 21 giorni di archiviazione ) indicate dal provvedimento del 6 febbraio .

 Il chiarimento  ridimensiona fortemente l'impatto  sulla gestione aziendale  trovando un punto accettabile di equilibrio tra protezione dei dati personali ed esigenze organizzative.

Nelle  linee guida del  6 febbraio  2024  si analizzava   l'utilizzo di programmi forniti  in modalità cloud  che spesso trattano  in modo generalizzato e sistematico i dati  senza possibilità di  disabilitare o modificare le modalità di archiviazione, con possibile violazione delle norme vigenti 

Nel provvedimento  il Garante  chiedeva quindi ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti  consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione 

 Il periodo considerato congruo  sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica  del  lavoratore era  fissato a un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore. 

Per i casi in cui i  datori di lavoro  debbano per esigenze organizzative e produttive o di tutela del patrimonio  informativo del titolare ( ad esempio, per specifiche esigenze di sicurezza dei sistemi) trattare i metadati per un periodo di tempo più esteso, si richiede  adempiere agli  obblighi previsti dalla normativa privacy (per esempio informativa privacy, data protection impact assessment-Dpia e legitimate interest assessment-Lia),   e di espletare le procedure di garanzia previste dallo Statuto dei lavoratori  (Legge 300 1970) ovvero 

  • pervenire ad un accordo con le rappresentanze sindacali  o 
  • ottenere l'autorizzazione dell’ispettorato del lavoro.