In un mondo sempre più digitale, la protezione della privacy sul lavoro diventa cruciale. Il Garante per la protezione dei dati personali ha aggiornato il documento “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”. Questo aggiornamento è rivolto ai datori di lavoro pubblici e privati. Rappresenta un passo importante per salvaguardare i diritti dei lavoratori.
Cosa cambia con l’aggiornamento del 2023
Il provvedimento del 21 dicembre 2023 ha modificato in modo significativo il Paragrafo 4. Questo chiarisce le responsabilità dei datori di lavoro pubblici e privati nell’uso di programmi di gestione della posta elettronica. Molti software di gestione e-mail, specialmente quelli basati su cloud, sono configurati per raccogliere e conservare automaticamente i metadati degli utenti. Questi metadati includono giorno, ora, mittente, destinatario, oggetto e dimensione delle e-mail.
Una sorveglianza invisibile
Il Garante spiega che questi programmi non permettono ai datori di lavoro di disattivare la raccolta sistematica dei dati né di ridurre il periodo di conservazione. Questo porta a una violazione delle normative che proteggono la libertà e la dignità dei lavoratori. È una sorveglianza invisibile.
Le nuove regole
Il documento di indirizzo si rivolge a datori di lavoro pubblici e privati e ai produttori dei software utilizzati. Stabilisce che:
- I datori di lavoro devono verificare che i programmi di posta elettronica consentano di modificare le impostazioni di base. Devono impedire la raccolta preventiva dei metadati o limitarne la conservazione a sette giorni, estendibili di ulteriori 48 ore.
- I produttori di software devono considerare il diritto alla protezione dei dati durante lo sviluppo e la progettazione dei loro prodotti.
E se il datore di lavoro vuole più controllo?
La normativa prevede che, se un datore di lavoro ha necessità organizzative o di protezione del patrimonio informativo che richiedono la conservazione dei metadati per periodi più lunghi, devono essere attivate le procedure di garanzia previste dallo Statuto dei lavoratori. Questo significa accordi sindacali o autorizzazioni dell’ispettorato del lavoro, per evitare il rischio di un controllo a distanza delle attività dei lavoratori.
Un report Europeo per la sicurezza nel cloud
Il Garante richiama anche il report del Comitato europeo per la protezione dei dati “2022 Coordinated Enforcement Action Use of cloud-based services by the public sector”. Questo report, adottato il 17 gennaio 2023, delinea le misure necessarie per garantire il rispetto del GDPR. Garantisce che i fornitori di servizi cloud trattino i dati personali solo su istruzione dei titolari dei dati.
L’aggiornamento del documento di indirizzo del Garante per la protezione dei dati personali risponde a una problematica pressante. I datori di lavoro devono bilanciare le esigenze organizzative con il rispetto della privacy dei dipendenti. I produttori di software devono integrare la protezione dei dati fin dalla progettazione. In un mondo dove i confini tra controllo e sorveglianza sono sempre più sottili, queste nuove direttive sono un passo necessario per proteggere i diritti dei lavoratori nell’era digitale.