Garante privacy: nuove indicazioni per la raccolta dell’email dei dipendenti

Il Garante, con il provvedimento n. 364 del 6 giugno, ha adottato una versione aggiornata del documento di indirizzo n. 642 del 21 dicembre scorso (la cui efficacia era stata sospesa) denominato «Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati» (v. la nostra newsflash «Garante privacy: regole restrittive per la conservazione delle email dei dipendenti» del 14.02.2024).

Il Garante dichiara di voler fornire alle imprese, con questo documento, indicazioni orientative in ordine alle modalità di gestione dell’email in uso ai dipendenti; pertanto, afferma ancora il Garante, dallo stesso non discendono nuovi adempimenti o responsabilità.

In primo luogo, al fine di chiarire l’ambito di applicazione oggettivo del provvedimento, si precisa la nozione di metadati di posta elettronica, in luogo della mera esemplificazione contenuta nel testo precedente. Si tratta delle informazioni registrate automaticamente nei log generati dai sistemi server di gestione e smistamento dell’email che possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server, gli orari di invio (di ritrasmissione o di ricezione), la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, anche l’oggetto del messaggio spedito o ricevuto. 

Il Garante afferma che i metadati non vanno in alcun modo confusi con le informazioni presenti nel corpo dei messaggi di posta elettronica (i.e. i contenuti) né con le informazioni tecniche che ne fanno comunque parte integrante e formano la cosiddetta envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici. Queste informazioni rimangono nella disponibilità dell’utente/lavoratore, all’interno della casella di posta attribuitagli. 

Solo i primi (metadati/log) formano oggetto del provvedimento, e solo ad essi pertanto si riferiscono le indicazioni del Garante.

Indicazioni peraltro modificate rispetto al provvedimento precedente: la raccolta e conservazione dei metadati/log necessari ad assicurare il funzionamento della posta elettronica può essere effettuata per un periodo limitato di pochi giorni e, in ogni caso, non dovrebbe superare il limite orientativo di 21 giorni (in luogo dei 7 stabiliti in precedenza). La conservazione per un termine ancora più ampio potrà essere effettuata solo in presenza di particolari condizioni, che dovranno essere comprovate dal titolare del trattamento in base al principio di accountability stabilito dal GDPR. L’eventuale conservazione dei metadati/log oltre il termine dovrà essere autorizzata con le procedure di cui all’art. 4, primo comma, dello Statuto dei Lavoratori.

Toffoletto De Luca Tamajo è a Vostra disposizione per qualsiasi chiarimento e per la redazione dei documenti necessari.

Per maggiori informazioni: comunicazione@toffolettodeluca.it
Whistleblowing Abuso del whistleblowing? Legittimo il licenziamento Dicembre 23, 2024 - L’articolo analizza i limiti del whistleblowing e la possibilità di licenziamento in caso di abuso. Focus su normativa, protezioni e recenti sentenze della Cassazione.
Puzzle piece - ESG Lavoro e sostenibilità delle imprese: le novità 2024 Dicembre 11, 2024 - L’articolo approfondisce le novità 2024 sulla sostenibilità aziendale, con un focus sui principi ESG, le iniziative UE come il Green Deal e le direttive su rendicontazione e due diligence.
Innovation Upskilling Finanziate le ore destinate alla formazione: al via la terza edizione del Fondo Nuove Competenze – competenze per l’innovazione Dicembre 10, 2024 - Scopri come accedere al Fondo Nuove Competenze – III edizione “Competenze per l’innovazione”, che finanzia la formazione su tecnologie avanzate, sostenibilità ed economia circolare.
Giornata internazionale per l'eliminazione della violenza contro le donne Violenza di genere e molestie sul lavoro: sfide e strategie per le imprese Novembre 25, 2024 - L'articolo esplora le sfide delle imprese italiane nell'affrontare violenza di genere e molestie sul lavoro, analizzando normative chiave, impatti organizzativi e strategie per un ambiente lavorativo sostenibile e inclusivo.