Garante privacy: nuove indicazioni per la raccolta dell’email dei dipendenti

Il Garante, con il provvedimento n. 364 del 6 giugno, ha adottato una versione aggiornata del documento di indirizzo n. 642 del 21 dicembre scorso (la cui efficacia era stata sospesa) denominato «Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati» (v. la nostra newsflash «Garante privacy: regole restrittive per la conservazione delle email dei dipendenti» del 14.02.2024).

Il Garante dichiara di voler fornire alle imprese, con questo documento, indicazioni orientative in ordine alle modalità di gestione dell’email in uso ai dipendenti; pertanto, afferma ancora il Garante, dallo stesso non discendono nuovi adempimenti o responsabilità.

In primo luogo, al fine di chiarire l’ambito di applicazione oggettivo del provvedimento, si precisa la nozione di metadati di posta elettronica, in luogo della mera esemplificazione contenuta nel testo precedente. Si tratta delle informazioni registrate automaticamente nei log generati dai sistemi server di gestione e smistamento dell’email che possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server, gli orari di invio (di ritrasmissione o di ricezione), la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, anche l’oggetto del messaggio spedito o ricevuto. 

Il Garante afferma che i metadati non vanno in alcun modo confusi con le informazioni presenti nel corpo dei messaggi di posta elettronica (i.e. i contenuti) né con le informazioni tecniche che ne fanno comunque parte integrante e formano la cosiddetta envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici. Queste informazioni rimangono nella disponibilità dell’utente/lavoratore, all’interno della casella di posta attribuitagli. 

Solo i primi (metadati/log) formano oggetto del provvedimento, e solo ad essi pertanto si riferiscono le indicazioni del Garante.

Indicazioni peraltro modificate rispetto al provvedimento precedente: la raccolta e conservazione dei metadati/log necessari ad assicurare il funzionamento della posta elettronica può essere effettuata per un periodo limitato di pochi giorni e, in ogni caso, non dovrebbe superare il limite orientativo di 21 giorni (in luogo dei 7 stabiliti in precedenza). La conservazione per un termine ancora più ampio potrà essere effettuata solo in presenza di particolari condizioni, che dovranno essere comprovate dal titolare del trattamento in base al principio di accountability stabilito dal GDPR. L’eventuale conservazione dei metadati/log oltre il termine dovrà essere autorizzata con le procedure di cui all’art. 4, primo comma, dello Statuto dei Lavoratori.

Toffoletto De Luca Tamajo è a Vostra disposizione per qualsiasi chiarimento e per la redazione dei documenti necessari.

Per maggiori informazioni: comunicazione@toffolettodeluca.it
Intelligenza artificiale Intelligenza artificiale: pubblicato il Regolamento UE Luglio 12, 2024 - È stato pubblicato in Gazzetta il Regolamento sull’intelligenza artificiale il cui obiettivo è promuovere l’innovazione e al tempo stesso la diffusione di un’intelligenza artificiale antropocentrica che garantisca un elevato livello di protezione della salute, della sicurezza e dei diritti fondamentali. Il provvedimento contiene anche previsioni riguardanti il mondo del lavoro.
Due Diligence Due Diligence: pubblicata la Direttiva Luglio 5, 2024 - Il 5 luglio è stata pubblicata la Direttiva 2024/1760 del 13 giugno 2024 volta a rafforzare il dovere di diligenza delle imprese ai fini della sostenibilità. Scopri di più su toffolettodeluca.it
Gender equality. La strategia UE per la parità di genere Rapporto biennale: nuova proroga Luglio 3, 2024 - Il 3 luglio il Ministero del lavoro, in un avviso pubblicato sul proprio sito, ha reso noto che è stato nuovamente prorogato il termine per la trasmissione del Rapporto biennale 2022-2023.
Il controllo dei dipendenti tramite investigatori privati Il controllo dei dipendenti tramite investigatori privati Giugno 20, 2024 - In questo approfondimento ci occuperemo delle investigazioni “esterne”, focalizzando l’attenzione sui limiti al potere di controllo, sulle condizioni di ricorso alle agenzie investigative e sul rispetto della normativa in materia di privacy.