Garante per la protezione dei dati personali
Provvedimento n. 9978728 del 21 dicembre 2023
Newsletter n. 517 del 6 febbraio 2024
Si rende noto che è stato adottato un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, contenente indicazioni utili ai datori di lavoro pubblici e privati nel prevenire trattamenti di dati in contrasto con la disciplina sulla protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori.
DATI SENSIBILI
La tutela riguarda i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (quali, per esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email). Il contenuto dei messaggi di posta elettronica, i dati esteriori delle comunicazioni e i file allegati sono infatti forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente dagli articoli 2 e 15 della Costituzione, poiché appartenenti al nucleo essenziale della dignità della persona e al pieno sviluppo della sua personalità nelle formazioni sociali. A tal proposito il Garante ricorda che lo Statuto dei lavoratori vieta al datore di lavoro di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell'attitudine professionale dello stesso.
OBBLIGHI DEL DATORE DI LAVORO
Il datore di lavoro, in quanto titolare del trattamento, è tenuto a rispettare i principi generali anche con riferimento alla necessità di fornire agli interessati in modo corretto e trasparente una rappresentazione del complessivo trattamento effettuato. Egli deve valutare se i trattamenti che si intendono realizzare possano rappresentare un rischio elevato per i diritti e le libertà delle persone fisiche e, in caso di riscontro affermativo, deve effettuare una preventiva valutazione di impatto sulla protezione dei dati personali. In particolare, viene richiesto ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione ad un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore. Qualora per esigenze organizzative, necessitasse trattare i dati delle mail dei lavoratori per un periodo di tempo più esteso, i datori di lavoro devono preventivamente espletare le procedure di garanzia previste dallo Statuto dei lavoratori: accordo sindacale o richiesta di autorizzazione all’ispettorato del lavoro.
E’ disponibile l’Informativa per i clienti dello studio 2024 - Nuove tutele per la posta elettronica dei dipendenti