Le indicazioni a tutti i datori di lavoro pubblici e privati. L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può comportare un controllo a distanza dell’attività del lavoratore.
E’ quanto è emerso oggi con la pubblicazione del nuovo “Documento di indirizzo sulla conservazione metadati” diffuso tramite newsletter della stessa Autorità Garante per la protezione dei dati personali e diretto a tutti i datori di lavoro pubblici e privati.
”Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” questo il titolo del documento elaborato dopo accertamenti ispettivi da cui era emerso che alcune procedure informatiche non garantivano la tutela della privacy dei dipendenti.
Il Garante ha messo a fuoco che si tratta di programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, configurati in modo da conservare per impostazione predefinita i metadati prodotti dall’utilizzo degli account di posta elettronica. Sono, ad esempio, i dati di tracciamento dei dipendenti come giorno, ora, mittente, destinatario, oggetto dell’email.
Gli ispettori del Garante hanno anche verificato che in alcuni casi i sistemi sono predefiniti tanto da non consentire ai datori di lavoro di disabilitare la raccolta sistematica dei dati e accorciare il periodo di conservazione.
Con il documento si chiede quindi ai datori di lavoro la verifica su programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti. I programmi devono poter consentire di modificare le impostazioni di base, stoppando la raccolta di metadati o limitando il periodo di conservazione a massimo 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore.
Un periodo, questo, è considerato congruo sotto il profilo tecnico per assicurare il funzionamento della posta elettronica in uso al lavoratore.
I datori di lavoro che per esigenze organizzative o di tutela del patrimonio anche informativo del titolare avessero necessità di trattare i metadati per un periodo di tempo più esteso, dovranno espletare le procedure di garanzia previste dallo Statuto dei lavoratori come l’accordo sindacale o l’autorizzazione dell’Ispettorato del lavoro.
