A inizio febbraio 2024, il Garante Privacy ha pubblicato un documento di indirizzo sulla conservazione dei metadati relativi ai dipendenti (Provvedimento “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” del 21/12/2023). Con questo documento il Garante, al fine di prevenire trattamenti di dati in contrasto con la normativa vigente in materia di privacy e con le norme che tutelano la libertà e la dignità dei lavoratori, ha fornito nuove indicazioni ai datori di lavoro pubblici e privati che, per la gestione della posta elettronica aziendale, utilizzano programmi forniti anche in modalità cloud.
Il provvedimento nasce dall’esito di accertamenti eseguiti dall’Autorità Garante, dai quali è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati dai fornitori anche in modalità cloud, sono configurati in modo tale da raccogliere e conservare i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad esempio, data, ora, indirizzi e-mail del mittente e del destinatario, indirizzi IP, oggetto e dimensioni delle e-mai) per impostazione predefinita, nonché in modo preventivo e generalizzato. In alcuni casi è emerso anche che i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione.
Con il nuovo documento il Garante invita quindi i datori di lavoro a verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai propri dipendenti (specie quelli in cloud o “as-a-service”) consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitandone il periodo di conservazione ad un massimo di 7 giorni estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore. Ne consegue che i datori di lavoro che, per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare, avessero necessità di trattare i metadati per un periodo di tempo più esteso, dovranno espletare le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale con le rappresentanze sindacali interne o autorizzazione dell’Ispettorato del lavoro). Alla luce delle nuove indicazioni del Garante, l’estensione del periodo di conservazione oltre l’arco temporale fissato dall’Autorità Garante (7 giorni) potrebbe, infatti, comportare un indiretto controllo a distanza dell’attività del lavoratore.
A fronte delle numerose richieste di chiarimento pervenute da operatori privati e pubblici, oltre che da parte di Associazioni di categoria e Ordini professionali, il Garante privacy, con una successiva nota del 27 febbraio 2024, ha avviato una procedura di consultazione pubblica della durata di 30 giorni in merito al “termine di conservazione dei metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica”. I datori di lavoro, gli operatori del settore e i soggetti interessati possono partecipare inviando le proprie osservazioni e/o proposte tramite e-mail agli indirizzi protocollo@gpdp.it oppure protocollo@pec.gpdp.it.
