Il 6 giugno 2024, il Garante per la privacy ha pubblicato nuove linee guida sulla protezione dei dati personali nella gestione della posta elettronica dei dipendenti. Il provvedimento, denominato Documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, sostituisce le precedenti disposizioni del 6 febbraio 2024, che avevano sollevato preoccupazioni tra i datori di lavoro a causa delle rigide restrizioni temporali imposte sulla gestione delle email aziendali.
Metadati e contenuto delle email
Le nuove linee guida chiariscono il concetto di metadati, definiti come le informazioni generate automaticamente dai server di gestione della posta elettronica aziendale, inclusi gli indirizzi email di mittente e destinatario, indirizzi IP, orari di invio e ricezione, dimensioni e presenza di allegati. Contrariamente a quanto previsto nel documento precedente, solo questi metadati, e non il contenuto delle email o l’envelope, devono essere eliminati entro un massimo di 21 giorni.
Utilizzo dei servizi cloud e obblighi per i datori di lavoro
Le linee guida di febbraio avevano analizzato l’uso di programmi di posta elettronica in modalità cloud, evidenziando come questi trattassero i dati in modo generalizzato e sistematico, spesso senza possibilità di modificare le impostazioni di archiviazione. Il Garante aveva quindi richiesto ai datori di lavoro di verificare che i programmi utilizzati permettessero di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione.
Il periodo considerato tecnicamente congruo per garantire il regolare funzionamento della posta elettronica dei lavoratori era fissato a un massimo di sette giorni, estensibili di ulteriori 48 ore in caso di comprovate esigenze. Per i datori di lavoro che necessitano di trattare i metadati per periodi più lunghi, è obbligatorio adempiere agli obblighi previsti dalla normativa sulla privacy, come la redazione di informative, la valutazione d’impatto sulla protezione dei dati (Dpia) e la valutazione dell’interesse legittimo (Lia).
Misure di garanzia e accordi sindacali
Per estendere il periodo di conservazione dei metadati, i datori di lavoro devono anche rispettare le procedure di garanzia previste dallo Statuto dei lavoratori (Legge 300 del 1970). Ciò può avvenire attraverso un accordo con le rappresentanze sindacali o ottenendo l’autorizzazione dall’ispettorato del lavoro.
