1 marzo, 2024
La newsletter del 6 febbraio 2024 a cura del Garante per la Protezione dei Dati Personali pubblicizza un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati (link https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9978728).
Il documento nasce a seguito di accertamenti effettuati dall’Autorità (in particolare quello recente riferito alla regione Lazio) dai quali è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare, per impostazione predefinita, in modo preventivo e generalizzato (e in apposito registro separato) , i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail).
In alcuni casi è emerso anche che i sistemi non consentono ai datori di lavoro di disabilitare tale raccolta sistematica dei dati e ridurre il periodo di conservazione.
Con il documento il Garante chiede quindi ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione ad un massimo di 7 giorni (estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore).
Periodo considerato congruo, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore.
Il documento di indirizzo, quindi, non impatta sul funzionamento e sulla conservazione delle cassette di posta elettronica in uso in azienda, bensì sul registro dei log della posta elettronica (di solito accessibile esclusivamente all’amministratore di sistema) cha automaticamente traccia i metadati delle e-mail inviate e ricevute dall’organizzazione formando un report che evidenzia data e ora di invio/ricezione, indirizzo del mittente e del destinatario, oggetto (e, a volte, anche ulteriori dati quali la dimensione della e-mail e la presenza o meno di allegati) senza, peraltro, dare evidenza del relativo contenuto.
Questo “registro”, per il Garante, configura un potenziale controllo a distanza dell’attività lavorativa e, per essere considerato lecito, deve esserne limitato a 7 giorni il tempo di conservazione (per estendere il quale, oltre ad avere valide motivazioni, occorre obbligatoriamente e preventivamente siglare un accordo sindacale o ottenere l’autorizzazione dell’ispettorato del lavoro).
Cosa occorre fare?
Nel caso l’organizzazione abbia piena e autonoma gestione del suo sistema di posta elettronica, sarà sufficiente modificare l’impostazione di retention automatica dei metadati, limitandola a 7 giorni.
Per i più (e parliamo di aziende che probabilmente manco sanno dell’esistenza e difficilmente fanno uso di questi report) occorre attendere che intervengano i grandi player fornitori dei sistemi di posta, i quali dovrebbero introdurre “by design” il limite massimo di 7 giorni suggeriti dal Garante.
TELEASSISTENZA
