Trattamento dei dati delle mail dei dipendenti e Metadati

Da tempo il Garante per la Protezione dei Dati Personali mette in guardia le aziende sui pericoli legati alla conservazione senza limiti dei messaggi di posta elettronica dei propri dipendenti. Nonostante queste comunicazioni avvengano nell'ambito lavorativo, rimane una legittima aspettativa di privacy da parte dei lavoratori, rendendo non lecito l'accesso indiscriminato da parte dei datori di lavoro.

Il 21 dicembre 2023, il Garante ha reso noto un nuovo documento guida, frutto di approfondite analisi, che mira a focalizzare l'attenzione sulla gestione dei metadati delle e-mail [consulta qui il Provvedimento 9978728]. Le indagini hanno rivelato che l'uso di servizi cloud per la posta elettronica può portare alla raccolta e conservazione prolungata di informazioni come data, orario, mittente, destinatario, oggetto e dimensione dell'email, comportando rischi per la privacy e la conformità allo statuto dei lavoratori. Secondo le direttive del Garante, i metadati delle e-mail non dovrebbero essere conservati per più di 7 giorni, con la possibilità di estendere questo periodo di ulteriori 48 ore solo in casi debitamente giustificati. Per conservazioni più lunghe, è richiesto un accordo con le rappresentanze sindacali e una motivazione dettagliata.

In risposta a numerose sollecitazioni, il 22 febbraio 2024, l'ente ha avviato una consultazione pubblica per raccogliere opinioni sulla durata di conservazione dei metadati e sulle modalità di utilizzo che potrebbero necessitare termini più lunghi.

Questo contesto sottolinea l'importanza per le organizzazioni di adottare un approccio responsabile, in linea con il principio di accountability previsto dal GDPR, equilibrando la protezione dei dati personali con le necessità aziendali.

Ecco alcune azioni consigliate per le aziende sulle quali il nostro studio può assistervi:

• Valutare le motivazioni dietro l'uso e conservazione dei metadati e dei contenuti e-mail dei dipendenti all'interno dell'organizzazione.
• Rivedere le attuali politiche di conservazione delle e-mail dei dipendenti e le modalità di accesso, in particolare dopo la conclusione del rapporto di lavoro, cercando di equilibrare le esigenze documentali aziendali e il rispetto della privacy dei dipendenti.
• Aggiornare le informative privacy dei dipendenti, specificando chiaramente i termini di conservazione dei dati.
• Condurre una valutazione d'impatto sulla privacy e un test di bilanciamento, in attesa di ulteriori indicazioni dal Garante.
• Fornire assistenza per chi desidera partecipare alla consultazione pubblica, aperta fino al 22 marzo 2024.

Queste pratiche non solo assicureranno la conformità alle normative, ma rafforzeranno anche la fiducia dei dipendenti in una gestione etica delle loro informazioni personali.

to read the English version, please click here