Con provvedimento n. 364 del 6 giugno 2024, del Garante per la privacy sono state pubblicate le nuove linee guida in tema di protezione dei dati personali nella gestione della posta elettronica dei dipendenti . Si tratta in particolare del Documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”
Nel Documento viene illustrata la normativa vigente con particolare riguardo alle possibili responsabilità per i datori di lavoro pubblici e privati .
Da segnalare una importante novità rispetto al recente documento del 6 febbraio 2024 sullo stesso tema che aveva creato molto allarme tra i datori di lavoro a causa delle forti restrizioni temporali sulla gestione delle mail dei dipendenti
In particolare nelle nuove linee guida che sostituiscono le precedenti, viene chiarito che per metadati si intendono le informazioni generate automaticamente dai server di gestione della posta elettronica aziendale riguardanti invii, ricezione e smistamento e che possono comprendere gli indirizzi email del mittente e del destinatario, indirizzi IP, orari di invio, di trasmissione o di ricezione, dimensioni e presenza di allegati.
Sono questi dati e non il contenuto nel corpo delle mail né la cosiddetta" envelope" che vanno eliminati con le scadenze molto restrittive (al massimo 21 giorni di archiviazione ) indicate dal provvedimento del 6 febbraio .
Il chiarimento ridimensiona fortemente l'impatto sulla gestione aziendale trovando un punto accettabile di equilibrio tra protezione dei dati personali ed esigenze organizzative.
Nelle linee guida del 6 febbraio 2024 si analizzava l'utilizzo di programmi forniti in modalità cloud che spesso trattano in modo generalizzato e sistematico i dati senza possibilità di disabilitare o modificare le modalità di archiviazione, con possibile violazione delle norme vigenti
Nel provvedimento il Garante chiedeva quindi ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione
Il periodo considerato congruo sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica del lavoratore era fissato a un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore.
Per i casi in cui i datori di lavoro debbano per esigenze organizzative e produttive o di tutela del patrimonio informativo del titolare ( ad esempio, per specifiche esigenze di sicurezza dei sistemi) trattare i metadati per un periodo di tempo più esteso, si richiede adempiere agli obblighi previsti dalla normativa privacy (per esempio informativa privacy, data protection impact assessment-Dpia e legitimate interest assessment-Lia), e di espletare le procedure di garanzia previste dallo Statuto dei lavoratori (Legge 300 1970) ovvero