Mail dipendenti e nuova tutela privacy: interviene il Ministro
Il Garante per la protezione dei dati personali nella recente newsletter n. 517 ha comunicato di aver adottato un nuovo documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati.
Si tratta di linee guida indirizzate ai datori di lavoro pubblici e privati in materia di gestione della posta elettronica dei dipendenti per prevenire trattamenti di dati in contrasto con le norme sulla protezione della privacy ai fini di tutelare la libertà e la dignità dei lavoratori.
Il provvedimento analizza in particolare l'utilizzo di programmi forniti in modalità cloud che spesso trattano in modo generalizzato e sistematico i dati senza possibilità di disabilitare o modificare le modalità di archiviazione, con possibile violazione delle norme vigenti e indica nuovi limiti temporali per la conservazione dei dati ( vedi i dettagli sotto)
Le raccomandazioni estremamente restrittive del garante , che come noto sono vincolanti, hanno prodotto molta preoccupazione tra gli addetti ai lavori per l'applicabilità , ancora tutta da definire.
Sul tema è intervenuto ieri nel corso di un convegno organizzato dal Sole 24 Ore il ministro del lavoro Calderone. Vediamo con ordine nei paragrafi seguenti.
Privacy: nuovi limiti di conservazione dei dati della posta elettronica dei dipendenti
Come detto, il documento del Garante nasce a seguito di accertamenti effettuati dall’Autorità dai quali è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail). In alcuni casi è emerso anche che i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione.
Nel provvedimento il Garante chiede quindi ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione
Il periodo considerato congruo sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica del lavoratore è fissato a
- un massimo di 7 giorni,
- estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore.
Privacy dipendenti: la tutela per evitare violazioni
Per i casi in cui i datori di lavoro debbano per esigenze organizzative e produttive o di tutela del patrimonio informativo del titolare ( ad esempio, per specifiche esigenze di sicurezza dei sistemi) t rattare i metadati per un periodo di tempo più esteso, si richiede di espletare le procedure di garanzia previste dallo Statuto dei lavoratori (Legge 300 1970) ovvero
- pervenire ad un accordo con le rappresentanze sindacali o
- ottenere l'autorizzazione dell’ispettorato del lavoro.
Infatti una estensione del periodo di conservazione oltre l'arco temporale sopracitato può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore, che è vietato appunto dallo Statuto dei lavoratori .
Privacy posta elettronica dipendenti: la posizione del Ministero
Il ministro del lavoro Marina Calderone a margine del Welfare & Hr summit, convegno sulla situazione del mercato del lavoro promosso dal Sole 24 Ore, è stata interpellata dal direttore Tamburini su molti argomenti tra cui anche questo nuovo provvedimento che rischia di mettere difficoltà praticamente tutte le aziende con dipendenti.
Calderone ha rassicurato affermando che il ministero è al lavoro in stretta collaborazione l'ispettorato nazionale del lavoro , che è responsabile dei controlli sul territorio, per "individuare una corsia semplificata " per dare alle aziende "la possibilità di adempiere agli obblighi senza troppe complicazioni».
Si attendono quindi provvedimenti ministeriali che chiariscano come le aziende debbano adeguarsi.