Nuovo intervento del Garante per la protezione dei dati personali in tema di tutela della posta elettronica dei dipendenti mette in stand by le raccomandazioni estremamente restrittive del documento di indirizzo del 21 dicembre 2023, pubblicato il 6 febbraio 2024, denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati che prescriveva severi limiti nella conservazione dei dati ( max 7 giorni di conservazione dei metadati che consentono di archiviare con ordine i documenti elettronici)
Scarica qui il testo del provvedimento del 6 febbraio .
Le raccomandazioni del Garante, che come noto sono vincolanti , hanno prodotto molta preoccupazione tra gli addetti ai lavori per l'applicabilità , ancora tutta da definire.
Sul tema era intervenuta pochi giorni dopo il ministro del lavoro Calderone assicurando che il Governo e l'ispettorato del lavoro erano al lavoro per mettere a punto le indicazioni operative .
Il nuovo provvedimento annuncia una proroga di almeno 30 giorni dell'entrata in vigore delle nuove regole e una consultazione pubblica per ridefinire in dettaglio i tempi e le modalità di applicazione.
Vediamo con ordine nei paragrafi seguenti.
L'articolo continua dopo la pubblicità
Le linee guida del 6 febbraio 2024 sono indirizzate ai datori di lavoro pubblici e privati per prevenire trattamenti di dati in contrasto con le norme sulla protezione della privacy ai fini di tutelare la libertà e la dignità dei lavoratori.
Il provvedimento analizza in particolare l'utilizzo di programmi forniti in modalità cloud che spesso trattano in modo generalizzato e sistematico i dati senza possibilità di disabilitare o modificare le modalità di archiviazione, con possibile violazione delle norme vigenti e indica nuovi limiti temporali per la conservazione dei dati ( vedi i dettagli sotto)
Il documento è nato a seguito di accertamenti effettuati dall’Autorità dai quali è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare - per impostazione predefinita, in modo preventivo e generalizzato - i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti ( si tratta ad esempio di giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail).
In alcuni casi è emerso anche che i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione.
Nel provvedimento il Garante chiede quindi ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione
ATTENZIONE Il periodo considerato congruo sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica del lavoratore è fissato a
Per i casi in cui i datori di lavoro debbano per esigenze organizzative e produttive o di tutela del patrimonio informativo del titolare ( ad esempio, per specifiche esigenze di sicurezza dei sistemi) t rattare i metadati per un periodo di tempo più esteso, si richiede di espletare le procedure di garanzia previste dallo Statuto dei lavoratori (Legge 300 1970) ovvero
Infatti una estensione del periodo di conservazione oltre l'arco temporale sopracitato può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore, che è vietato appunto dallo Statuto dei lavoratori .
Il ministro del lavoro Marina Calderone a margine del Welfare & Hr summit, convegno sulla situazione del mercato del lavoro promosso dal Sole 24 Ore, è stata interpellata anche questo nuovo provvedimento che rischia di mettere difficoltà praticamente tutte le aziende con dipendenti.
Calderone ha rassicurato affermando che il ministero è al lavoro in stretta collaborazione con l'ispettorato nazionale del lavoro , che è responsabile dei controlli sul territorio, per "individuare una corsia semplificata " per dare alle aziende "la possibilità di adempiere agli obblighi senza troppe complicazioni».
Si attendono quindi provvedimenti ministeriali che chiariscano come le aziende debbano adeguarsi.
Nel nuovo documento il Garante, in considerazione delle osservazioni critiche giunte sul temaannuncia , come detto, l'avvio di una consultazione pubblica della durata di 30 giorni a partire dalla data di pubblicazione dell’avviso, quindi dal 27 febbraio al 28 marzo 2024 per acquisire proposte in merito alla congruità del termine proposto del documento del 21 dicembre e, più in generale alle forme e modalità di utilizzo per un prolungamento dei tempi .
L’efficacia del documento di indirizzo (che ordinariamente è immediata viene quindi differita al termine della predetta consultazione pubblica all’esito della quale il
Garante si riserva di adottare ulteriori determinazioni .
In caso di mancata adozione di nuovi provvedimenti l'entrata in vigore delle nuove regole viene fissata dopo ulteriori 60 giorni dal termine della consultazione
I soggetti interessati a far pervenire le osservazioni, i commenti, le informazioni, le proposte e tutti gli elementi ritenuti utili, entro 30 giorni dalla pubblicazione dell’avviso pubblico di avvio della medesima consultazione sulla Gazzetta Ufficiale, all’indirizzo del Garante di Piazza Venezia n. 11, 00187 – Roma, ovvero all’indirizzo di posta elettronica protocollo@gpdp.it oppure protocollo@pec.gpdp.it.