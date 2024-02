È una svolta, secondo gli esperti in materia, destinata ad avere un impatto rilevante sulle aziende e su milioni di lavoratori dipendenti. Si apre un nuovo fronte, ma pure nuove possibili difficoltà nella gestione aziendale, per i datori di lavoro pubblici e privati: il Garante per la privacy ha fissato regole molto restrittive in tema di conservazione delle mail dei dipendenti. Con un documento del 6 febbraio scorso, il Garante limita a 7 giorni il lasso di tempo massimo entro cui si possono conservare i "metadati" relativi all'utilizzo degli account di posta elettronica dei dipendenti, posizionati su "cloud" esterni. In parole povere, significa che in questi nuovi paletti ricadono informazioni come giorno, ora, mittente, destinatario, oggetto e dimensione dell'email.

Le nuove regole sulle email aziendali dei dipendenti

Perché e come si è arrivati a questa decisione? E cosa comporta, in termini pratici? Le nuove regole vogliono prevenire il trattamento dei dati in contrasto con la disciplina sulla protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori. Il documento in questione parte da una serie di accertamenti con cui il Garante ha rilevato che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare - per impostazione predefinita, in modo preventivo e generalizzato - i metadati relativi all'utilizzo degli account di posta elettronica dei dipendenti.

Dagli accertamenti dell'autorità per la privacy è emerso che in alcuni casi i sistemi utilizzati non consentono nemmeno ai datori di lavoro di disabilitare la raccolta dei dati o di ridurre il periodo di conservazione. Ai datori di lavoro, quindi, viene chiesto di verificare che i programmi di gestione della posta elettronica utilizzati dai dipendenti lo permettano.

Il controllo indiretto a distanza dell'attività del lavoratore

Il Garante definisce alcune eccezioni. Il massimo di 7 giorni può essere esteso solo per altre 48 ore e solo "in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento". Un periodo che viene giudicato congruo per "assicurare il regolare funzionamento della posta elettronica in uso al lavoratore". Per allungare il limite, l'autorità per la privacy precisa che bisogna "espletare le procedure di garanzia previste dallo Statuto dei lavoratori". Serve quindi un accordo sindacale, o in alternativa l'autorizzazione dell'Ispettorato del lavoro. Se non c'è né l'accordo né l'autorizzazione, l'estensione del periodo di conservazione oltre l'arco temporale fissato dal Garante può configurarsi come "un indiretto controllo a distanza dell'attività del lavoratore".

Le sanzioni e lo scenario

Se non si seguono le nuove regole si rischia quindi di subire una sanzione, sia sotto il profilo penale che sotto quello amministrativo, per i casi di trattamento illecito dei dati. Bene, e adesso? Ora bisogna vedere se e come si riuscirà effettivamente ad applicare quanto stabilito dal documento, tutelando i lavoratori ma pure evitando al contempo di creare problemi gestionali per le aziende. Anche se l'intento è quello di disincentivare il controllo dei dipendenti da parte dei datori di lavoro, si rischia la perdita di informazioni rilevanti per la gestione aziendale. Un'azienda che cancella i metadati dei dipendenti entro una settimana perde la memoria di qualsiasi attività compiuta dal personale, con seri rischi legali e d'impresa.

Per evitare sanzioni, le aziende dovranno (con una certa urgenza) aggiornare l'informativa sulla privacy per i dipendenti e rivedere la politica di conservazione dei dati della posta elettronica presso eventuali cloud esterni. E siglare accordi con i sindacati o richiedere l'autorizzazione dell'Ispettorato del lavoro per allungare (di poco) il periodo di conservazione dei metadati.