Con il provvedimento del 21.12.2023 il Garante della Privacy ha emanato nuove linee guida per i datori di lavoro, sia pubblici che privati, con cui ha chiesto di provvedere all’adeguamento dei software di gestione in cloud della posta elettronica dei dipendenti nel contesto lavorativo, con particolare riferimento al trattamento e conservazione dei c.d. metadati.
Ciò con l’obiettivo di prevenire trattamenti in contrasto con la normativa in materia di dati personali (con conseguenti responsabilità sul piano sia amministrativo che penale), nonché posti in essere in violazione della libertà e della dignità dei lavoratori.
In particolare, il Garante ha chiesto ai datori di lavoro di verificare che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service – consentano al datore di lavoro di modificare le impostazioni di base, impedendo la raccolta dei predetti metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di sette giorni, estensibile di ulteriori 48 ore.
È fondamentale per il datore saper modificare le impostazioni di base?
Qualora, invece, i datori di lavoro (titolari del trattamento), per ragioni organizzative e/o produttive o di tutela del patrimonio, avessero necessità di trattare i metadati per un periodo di tempo più lungo rispetto a quello indicato dal Garante, dovranno espletare le procedure di garanzia previste dallo Statuto dei lavoratori (i.e. accordo sindacale o autorizzazione dell’ispettorato del lavoro), oppure cessare l’utilizzo dei predetti software. Infatti, estendere il periodo di conservazione dei dati oltre il termine fissato dal Garante potrebbe determinare un controllo a distanza indiretto dell’attività del lavoratore.
Infine, il Garante ha precisato che, in ogni caso, deve essere assicurata la necessaria trasparenza nei confronti dei lavoratori, fornendo agli stessi una specifica informativa sul trattamento dei dati personali prima di dare inizio al trattamento, tenuto conto del fatto che l’adempimento degli obblighi informativi nei confronti dei dipendenti (consistenti nella “adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli”) costituisce anche una specifica precondizione per il lecito utilizzo dei dati raccolti attraverso strumenti tecnologici, da parte del datore di lavoro, anche a tutti i fini connessi al rapporto di lavoro (art. 4, co. 3, della l. n. 300/1970).