Il Garante per la protezione dei dati personali, con il provvedimento del 21 dicembre 2023, pubblicato nella newsletter del 6 febbraio 2024, interviene sulla gestione delle mail utilizzate dai lavoratori, introducendo nuovi obblighi ai datori di lavoro pubblici e privati per le mail aziendali.
I metadati delle mail
Il Garante ha accertato che alcuni programmi e servizi informatici utilizzati per la gestione della posta elettronica dei dipendenti raccolgono in modo generalizzato i c.d. metadati delle e-ma
il, come per esempio il giorno, l’ora, il mittente, il destinatario, l’oggetto e la dimensione dell’e-mail.
In molti casi, poi, i suddetti metadati sono conservati per un lungo periodo di tempo.
Dalla raccolta dei dati che accompagnano le mail, ha evidenziato il Garante, si potrebbero acquisire informazioni attinenti alla sfera personale o alle opinioni anche politiche, religiose o sindacali del lavoratore o comunque su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore, attività espressamente vietata dall’art. 8 della L. 300/1970 (Statuto dei lavoratori).
Inoltre, il Garante ha accertato che i sistemi di gestione della posta elettronica, spesso commercializzati da fornitori di servizi in modalità cloud, non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei suddetti dati e/o di ridurre il periodo di conservazione.
I nuovi obblighi per i datori di lavoro
Per evitare un pregiudizio in capo ai lavoratori, il Garante ha adottato il documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”.
In sintesi, tale documento interviene sulla raccolta e conservazione dei dati relativi alle mail aziendali e pone nuovi obblighi in capo ai datori per le mail aziendali, fra cui:
– verificare se i programmi e i servizi informatici di gestione delle mail 
dei lavoratori consentono di modificare le impostazioni di base circa la raccolta e conservazione dei metadati, in caso negativo non potranno essere utilizzati;
– assicurare la necessaria trasparenza nei confronti dei lavoratori, fornendo agli stessi una specifica informativa sul trattamento di tali dati personali prima di dare inizio al trattamento;
– impedire la raccolta di metadati o limitare la conservazione fino ad un massimo di sette giorni, purché tali azioni siano necessarie ad assicurare il regolare funzionamento della posta elettronica in uso al lavoratore;
– eventualmente, esperire le garanzie previste dall’art. 4, comma 1, della Legge n. 300/1970 (accordo con le rappresentanze sindacali o autorizzazione dell’Ispettorato del lavoro) nel caso in cui sia necessaria la raccolta e la conservazione di tali metadati, per un lasso di tempo più esteso, purché si fondi su esigenze organizzative e produttive, o per finalità di sicurezza informatica e tutela dell’integrità del patrimonio, anche informativo.
Si ricorda che la mancata adozione delle suddette azioni potrebbe far incorrere il datore di lavoro nella violazione delle norme previste dallo Statuto dei lavoratori, dal Regolamento (UE) 2016/679 (cd. GDPR) e dal Codice in materia di protezione dei dati personali (D.lgs. 196/2003), esponendolo non solo a sanzioni anche molto onerose, ma anche ad azioni da parte degli stessi lavoratori.
Stay In Touch