12 Febbraio 2024• byGiulio Coraggio
Con una mossa molto discussa (e criticata), il Garante Privacy ha imposto un drastico cambiamento nelle politiche di conservazione dei metadati delle email dei dipendenti.
In particolare, il Garante Privacy ha emanato delle nuove linee guida su “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati“.
In base alla posizione del Garante, i datori di lavoro non possono conservare i metadati delle e-mail relativi, tra l’altro, alla data, all’ora, al mittente, al destinatario, all’oggetto e alla dimensione delle e-mail dei dipendenti, per più di 7 giorni, prorogabili di ulteriori 48 ore in caso di comprovate e documentate esigenze che ne giustifichino il prolungamento. Queste linee guida, che interessano principalmente i fornitori di cloud e software as a service abituati alla conservazione indefinita dei dati, introducono una sfida significativa: bilanciare le stringenti norme sulla protezione dei dati con le esigenze di tutela del patrimonio e degli interessi dell’azienda.
Inoltre, le nuove linee guida prevedono alcune eccezioni per la conservazione per un lasso di tempo più esteso, ad esempio per motivi di sicurezza, ma con il prerequisito di un accordo sindacale e la necessità di giustificare specificamente la conservazione. Ciò solleva una domanda pertinente per le aziende: È sostenibile cancellare i metadati dopo soli 7 giorni? Le implicazioni di una simile politica sono profonde, soprattutto in tema di controversie legali che possono emergere a distanza di anni, dove la mancanza di metadati potrebbe mettere in dubbio l’autenticità delle prove delle e-mail e quindi impedire all’azienda di difendere i propri interessi.
In definitiva, queste nuove linee guida sottolineano un crescente attrito tra le imposizioni in tema privacy e le esigenze pratiche delle aziende. L’impatto potenziale sulla risoluzione delle controversie, sulla gestione dei dati e sulle operazioni commerciali è notevole.
A prescindere da ciò che si pensa della posizione del Garante Privacy, la decisione impone alle aziende almeno di:
- aggiornare l’informativa privacy per i dipendenti, indicando specificamente il periodo di conservazione dei dati applicabile;
- eseguire una DPIA, una valutazione di impatto, per continuare il trattamento dei dati,
- eseguire un test di bilanciamento poiché è probabile che la conservazione dei dati si basi su un interesse legittimo e
- aggiornare la politica di conservazione dei dati.
Ma non ci sono solo gli adempimenti connessi alla normativa privacy: seguendo l’impostazione del Garante, se un’azienda vuole conservare i dati per più di 7 giorni, dovrà applicare le regole previste dallo Statuto dei lavoratori. Quindi, sarà necessario un accordo espresso con le rappresentanze sindacali o, in mancanza di questo, con l’Ispettorato Territoriale del Lavoro: dei passaggi molto complessi e dall’esito non scontato.
Se volete sapere maggiori informazioni al riguardo potete contattare Giulio Coraggio per gli aspetti privacy, mentre per gli aspetti giuslavoristici i nostri soci Fabrizio Morelli, Giampiero Falasca, Alessandra Garzya e Federico Strada.
Su di un simile argomento, è possibile leggere l’articolo “Il Garante privacy sanziona sul monitoraggio di dipendenti sul posto di lavoro“.