Email dei dipendenti, il datore le può conservare oltre i 7 giorni solo con accordo sindacale
Le recenti linee guida del Garante privacy per la gestione della posta elettronica e dei metadati dei lavoratori possono avere un impatto rilevante nella vita delle aziende.
Il provvedimento del Garante, infatti, ha fissato dei vincoli molto restrittivi, stabilendo che i datori di lavoro non possono conservare i metadati delle email dei dipendenti (data, ora, mittente, destinatario, oggetto e dimensione) posizionati su cloud esterni oltre un periodo di tempo estremamente breve.
Tale periodo, secondo il provvedimento «non può essere superiore di norma a poche ore o ad alcuni giorni, in ogni caso non oltre 7 giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore».
Una misura che rischia di creare problemi gestionali molto rilevanti, perché è quasi impensabile che un’azienda possa cancellare i metadati entro un lasso di tempo così ristretto: significherebbe perdere la memoria di qualsiasi attività compiuta dal personale, con dei rischi legali e imprenditoriali incalcolabili.
Tuttavia, queste considerazioni pratiche, per quanto sensate, non bastano a sollevare il datore di lavoro, che conserva i metadati per un periodo più lungo di quello indicato, dal rischio di subire le sanzioni amministrative e penali previste per i casi di trattamento illecito dei dati.
Gli accorgimenti da adottare
Per evitare di incorrere in questo meccanismo sanzionatorio bisogna adottare al più presto alcuni accorgimenti. In primo luogo, è necessario mettersi in regola con i vari adempimenti richiesti dalla normativa: aggiornare l’informativa privacy per i dipendenti, eseguire una valutazione di impatto sui diritti fondamentali, eseguire un test di bilanciamento, rivedere la politica di conservazione dei dati.
Questi accorgimenti, tuttavia, pur doverosi non risolvono il problema del tempo: per allungare il periodo di conservazione dei metadati, è necessario fare di più, attivando il meccanismo previsto dall’articolo 4 dello Statuto dei lavoratori. Questa norma, dopo aver vietato ogni forma di controllo a distanza dei lavoratori, consente di usare sistemi che generano un controllo indiretto solo se tale utilizzo viene espressamente autorizzato da un accordo sindacale.
Quest’ultimo deve essere stipulato dal datore di lavoro con le rappresentanze sindacali unitarie, ove presenti, o con quelle sindacali aziendali. In mancanza di tali soggetti o, comunque, per le imprese con unità produttive presenti in diverse province o regioni, l’accordo può essere stipulato con i livelli territoriali o nazionali delle associazioni sindacali.
Al fine di evitare di assegnare un potere di veto eccessivo al sindacato, lo Statuto si è preoccupato di stabilire un meccanismo alternativo: se non si trova l’accordo, si può chiedere l’autorizzazione all’Ispettorato nazionale del lavoro (nella sede territoriale o, nel caso di imprese con più sedi, nella sede centrale).
Invece l’accordo non serve per alcune tipologie di metadati, quelle rientranti nella nozione di «strumenti di lavoro». Sono inclusi in questa definizione, secondo il Garante, solo i metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica (per un tempo di poche ore o giorni); un ambito davvero molto ristretto.
È necessario e urgente, quindi, che tutti datori di lavoro provvedano a una verifica tempestiva delle modalità di conservazione della posta elettronica presso eventuali cloud esterni, attivando quanto prima, nel caso in cui ricorrano i presupposti indicati dal Garante, il percorso per siglare l’accordo sindacale o richiedere l’autorizzazione amministrativa.
Fonte: Il Sole 24 Ore