L’Autorità Garante per il trattamento dei dati personali ha recentemente adottato un Documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto
lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati.
Il termine metadati è utilizzato nel linguaggio informatico per definire un insieme di informazioni sui dati.
Sinteticamente, nella posta elettronica, i metadati sono informazioni che hanno lo scopo di migliorare la
visibilità, la ricerca e l’accesso ai dati. Sono delle “stringhe descrittive” che rappresentano le caratteristiche o le proprietà della posta elettronica come il giorno, l’ora, il mittente, il destinatario, l’oggetto e la dimensione dell’e-mail stessa.
Nel corso di accertamenti condotti in merito ai trattamenti di dati personali nel contesto lavorativo
l’Autorità ha rilevato che molti dei programmi e servizi informatici per la gestione della #posta elettronica
forniti in cloud ovvero as- a service, raccolgono in modo preventivo e generalizzato, per impostazione
predefinita, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti,
conservando gli stessi per un esteso arco temporale.
Il più delle volte i datori di lavoro non possono nemmeno modificare questa impostazione predefinita,
impostata appunto di default dall’azienda fornitrice.
L’Autorità ha adottato il documento di indirizzo in esame che mira a promuovere la consapevolezza delle
scelte aziendali e prevenire trattamenti in contrasto con la disciplina in materia di protezione dei dati
personali e le norme che tutelano la liberà e la dignità dei lavoratori.
La raccolta sistematica di questi dati e la conservazione per un periodo di tempo considerevole, si
traducono in un potenziale strumento di controllo da parte del datore di lavoro, che potrebbe monitorare
i metadati delle email aziendali, ricavando informazioni su orari, destinatari, oggetto delle comunicazioni e peso degli allegati.
In base a quanto previsto nel documento di indirizzo, i produttori di programmi e servizi informatici per la
gestione della posta elettronica (modalità cloud ovvero as- a service), dovranno essere selezionati in base alla loro capacità di garantire il rispetto dei nuovi tempi di conservazione: massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore. Nel caso di deroghe alle citate tempistiche, trova applicazione la disciplina di settore in materia di controlli a distanza: accordo sindacale ovvero autorizzazione dell’ispettorato del lavoro.
