Nei giorni scorsi l’Autorità Garante per la protezione dei dati personali ha emesso il provvedimento n. 364, pubblicando un documento di indirizzo aggiornato in ottica privacy sui programmi di gestione delle email in ambito lavorativo e sul trattamento dei metadati delle email dei dipendenti. Il documento, frutto di una consultazione pubblica, non impone nuovi obblighi, ma offre una panoramica sistematica delle norme applicabili, evidenziando i punti d’incontro tra la tutela dei dati e l’utilizzo di strumenti tecnologici sul lavoro.

I metadati vengono definiti come informazioni registrate nei log dei sistemi server (MTA) e client (MUA) di gestione della posta. Questi includono indirizzi email, IP, orari, dimensioni dei messaggi, presenza di allegati e oggetto, sono registrati automaticamente indipendentemente dalla volontà dell’utente e non vanno confusi con il contenuto dei messaggi o con l’envelope, che rimangono sotto il controllo esclusivo dell’utente.

L’obiettivo del Garante è bilanciare il diritto alla riservatezza dei dipendenti con le legittime esigenze organizzative e di sicurezza delle aziende. Un punto cruciale riguarda quanto a lungo le aziende possono conservare questi metadati. In generale, il Garante suggerisce di non superare i 21 giorni, perché conservarli più a lungo potrebbe permettere un controllo indiretto sull’attività dei lavoratori, cosa che la legge italiana sul lavoro regola molto attentamente.

Possono però esserci situazioni in cui c’è il bisogno di conservare i metadati più a lungo. In questi casi, l’azienda può decidere di estendere il periodo di conservazione oltre i 21 giorni, ma (ed è qui che entra in gioco il principio di responsabilizzazione del GDPR) deve documentare perché serve, valutare i rischi per la privacy dei dipendenti e mettere in atto misure compensative (per esempio, limitando rigorosamente chi può accedere a questi dati “storici”).

privacy email

Il Garante mette anche in guardia da un’insidia: la conservazione prolungata e generalizzata dei metadati potrebbe configurarsi come una forma di controllo a distanza dei lavoratori. E qui si entra nel campo dello Statuto dei Lavoratori (la legge 300 del 1970), che richiede accordi sindacali o autorizzazioni pubbliche per l’installazione di sistemi che possono monitorare l’attività dei dipendenti.

 

C’è poi la questione (sempre in ottica GDPR) dei software che le aziende usano per gestire le email. Molti di questi programmi, specie quelli offerti come servizi cloud, hanno impostazioni predefinite che potrebbero non essere in linea con la normativa italiana. Il Garante ricorda alle aziende che è loro responsabilità verificare queste impostazioni e, se necessario, chiedere ai fornitori di modificarle, per esempio disattivando funzioni non necessarie o impostando periodi di conservazione dei dati più brevi.

La protezione della privacy dovrebbe inoltre essere considerata fin dalla progettazione di questi software e i produttori dovrebbero offrire prodotti che aiutino le aziende a rispettare la legge, non che le mettano in difficoltà.

In sintesi, il messaggio del Garante è chiaro. Le aziende devono prestare attenzione non solo al contenuto delle email dei dipendenti (che ovviamente è privato), ma anche a tutte quelle informazioni “di contorno” che i sistemi informatici registrano. Queste informazioni, apparentemente innocue, se accumulate nel tempo possono rivelare molto sulle abitudini lavorative di una persona. Vanno quindi gestite con cura, conservate il meno possibile e protette adeguatamente, il tutto nel rispetto sia della privacy dei lavoratori, sia delle legittime esigenze aziendali.