L’ultimo provvedimento del garante per la protezione dei dati personali, numero 642 del 21 dicembre 2023, ha introdotto importanti novità riguardanti la gestione della posta elettronica aziendale e dei metadati dei lavoratori, imponendo alle imprese un attento riesame delle proprie politiche di conservazione dei dati.
In un’era dove la digitalizzazione dei processi lavorativi è sempre più diffusa, il rispetto della privacy dei dipendenti diventa un punto di attenzione cruciale per ogni realtà aziendale.
Il garante ha chiarito che la conservazione dei metadati delle email dei dipendenti non può estendersi oltre un periodo “di norma di poche ore o ad alcuni giorni, in ogni caso non oltre sette giorni”, salvo esigenze particolari che ne giustifichino un prolungamento di ulteriori 48 ore. Tale restrizione mira a prevenire un controllo indiretto e non autorizzato sull’attività lavorativa dei dipendenti, proteggendo così i loro diritti fondamentali.
Implicazioni per le aziende
Per le aziende, questa disposizione implica la necessità di un’attenta revisione delle modalità di gestione e conservazione dei dati raccolti tramite la posta elettronica, al fine di evitare violazioni della normativa sulla privacy e conseguenti sanzioni amministrative. È fondamentale che ogni impresa si doti di politiche chiare e trasparenti riguardo al trattamento dei dati personali dei lavoratori, in linea con i principi di proporzionalità e minimizzazione sanciti dal Gdpr.
Accordo sindacale o autorizzazione
Per superare i limiti temporali imposti dal garante senza incorrere in violazioni, le aziende possono ricorrere all’articolo 4 dello statuto dei lavoratori, che prevede la possibilità di implementare sistemi di controllo indiretto dei lavoratori mediante l’ottenimento di una preventiva autorizzazione sindacale o, in mancanza, dell’ispettorato nazionale del lavoro. Questo passaggio è cruciale per garantire che ogni forma di monitoraggio sia svolta nel pieno rispetto dei diritti dei dipendenti e delle normative vigenti.
Verifiche e due diligence
In questo contesto, diventa imprescindibile per le imprese effettuare una verifica accurata delle proprie pratiche di conservazione dei dati, valutando la proporzionalità e la necessità di ogni trattamento in relazione alle finalità perseguite. Solo attraverso una due diligence mirata e l’adozione di misure adeguate sarà possibile conformarsi alle disposizioni del garante, evitando rischi legali e proteggendo al contempo la privacy dei lavoratori.