Quanto si possono conservare le e-mail dei dipendenti?

Con l’intento di fornire chiarimenti ai datori di lavoro pubblici e privati in merito “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” il Garante per la protezione dei dati personali ha adottato un documento di indirizzo.

Il documento nasce a seguito di accertamenti effettuati dall’Autorità dai quali è emerso che:

  • alcuni programmi e servizi informatici sono configurati in modo da raccogliere e conservare anche in modalità cloud – per impostazione predefinita, in modo preventivo e generalizzato i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad es. giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail);
  • a volte i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione.

Il Garante chiede quindi ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base:

  • IMPEDENDO LA RACCOLTA DEI METADATI
  • LIMITANDO IL LORO PERIODO DI CONSERVAZIONE ad un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore. Periodo considerato congruo, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore.

CASI PARTICOLARI

I datori di lavoro che per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare (in particolare, ad esempio, per specifiche esigenze di sicurezza dei sistemi) avessero necessità di trattare i metadati per un periodo di tempo più esteso, dovranno espletare una delle due procedure di garanzia previste dallo Statuto dei lavoratori:

  • ACCORDO SINDACALE
  • AUTORIZZAZIONE DELL’ISPETTORATO DEL LAVORO

L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore.

Fonti: www.garanteprivacy.it: Newsletter n. 517 del 6 febbraio 2024 – Prov. n. 642 del 21 dicembre 2023

Per maggiori informazioni o contatti – Servizio Privacy e Cyber Security

Potrebbe interessarti anche

ASSOCIATI