Avviata una consultazione pubblica sul Provvedimento di Indirizzo del Garante Privacy per l’uso delle e-mail in ambito lavorativo
Il 21 dicembre 2023, l’Autorità Garante per la Protezione dei Dati Personali ha introdotto importanti novità riguardo la gestione delle e-mail in ambito lavorativo, imponendo limiti al periodo di conservazione dei metadati delle e-mail in uso al personale dipendente e l’introduzione di nuove tutele.
L’efficacia di tale Provvedimento è stata poi sospesa in data 27 febbraio, con l’avvio di una pubblica consultazione al fine di acquisire osservazioni e proposte da tutte le parti interessate. I contributi possono essere trasmessi all’Autorità entro il prossimo al 28 marzo 2024.
Cosa c’è di nuovo nel Documento di Indirizzo del GPDP
Il Documento di indirizzo adottato dall’Autorità Garante, denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, mira a meglio proteggere i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti, prevedendo un tempo di conservazione limitato a 7 giorni (massimo 9), salvo specifiche esigenze documentate e previo accordo sindacale.
Per i datori di lavoro, ciò determinerebbe l’adozione di nuove pratiche per assicurare il rispetto delle procedure di garanzia stabilite dalla legge, inclusa la necessità di un accordo sindacale o di una autorizzazione dell’ispettorato del lavoro laddove sia dimostrata la necessità di un periodo di conservazione superiore a quello prescritto dall’Autorità.
Ecco alcuni interventi da considerare:
- Verificare le impostazioni di default sulla conservazione dei metadati della posta elettronica e se sia possibile o meno personalizzarli secondo le esigenze del datore di lavoro/titolare del trattamento;
- Verificare e Aggiornare l’Informativa Privacy per i dipendenti e la policy aziendale sull’utilizzo degli strumenti informatici per l’esecuzione della prestazione lavorativa;
- Eseguire una Valutazione di Impatto sulla Protezione dei Dati (DPIA);
- Realizzare un test di bilanciamento di interessi tra la necessità aziendale di conservare i dati e i diritti dei dipendenti (trattamento basato sul legittimo interesse);
- Rivedere e aggiornare le politiche di conservazione dei dati e i sistemi di controllo dell’e-mail aziendale;
Si resta in attesa di conoscere gli esiti della consultazione pubblica e le decisioni che assumerà l’Autorità che potrebbero portare la stessa a fornire chiarimenti e/o modificare la portata del Provvedimento attualmente pubblicato. In assenza di ulteriori interventi, gli indirizzi attuali diverrebbero applicabili 60 giorni dopo la scadenza del termine della consultazione pubblica (i.e. 28 marzo).
