Facciamo riferimento alla nostra circolare n. 47 dell’8 febbraio 2024 nella quale abbiamo dato conto di un importante provvedimento del Garante della Privacy in merito alla gestione della posta elettronica dei lavoratori nelle aziende.
Segnaliamo in particolare come le recenti linee guida adottate dal Garante della Privacy (sono state pubblicate in data 06-02-2024), possono avere un impatto rilevante nella vita delle aziende. Il provvedimento del Garante ha infatti fissato dei vincoli molto restrittivi, stabilendo che i datori di lavoro non possono conservare i metadati delle e-mail dei dipendenti (data, ora, mittente, destinatario, oggetto e dimensione) posizionati su cloud esterni oltre un periodo di tempo estremamente breve. Tale periodo, secondo il provvedimento, “non può essere superiore di norma a poche ore o ad alcuni giorni, in ogni caso non oltre sette giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore”.
Una misura che rischia di creare problemi gestionali molto rilevanti, perché è quasi impensabile che un’azienda possa cancellare i metadati entro un lasso di tempo così ristretto: significherebbe perdere la memoria di qualsiasi attività compiuta dal personale, con dei rischi legali e imprenditoriali incalcolabili.
Tuttavia, queste considerazioni pratiche, per quanto sensate, non bastano a sollevare il datore di lavoro, che conserva i metadati per un periodo più lungo di quello indicato, da rischio di subire le sanzioni amministrative e penali previste per i casi di trattamento illecito dei dati.
Come fare per allungare i tempi di conservazione dei metadati
Per evitare di incorrere in questo meccanismo sanzionatorio il datore di lavoro, oltre a mettersi in regola con i vari adempimenti richiesti dalla normativa sulla privacy (come ad esempio aggiornare l’informativa privacy dei dipendenti e/o rivedere la politica di conservazione dei dati), adempimenti doverosi ma che non risolvono il problema del tempo limitato di conservazione dei dati, e proprio per allungare questo tempo, deve/può attivare il meccanismo previsto dall’art. 4 della legge n. 300/1970 (“Statuto dei Lavoratori”).
La disposizione citata, dopo aver vietato ogni forma di controllo a distanza dei lavoratori, consente di utilizzare dei sistemi che generano un controllo indiretto degli stessi, solo se tale utilizzo viene espressamente autorizzato da un accordo sindacale che viene stipulato dal datore di lavoro con le Rsu, se presenti in azienda, o con la Rsa. Se l’azienda ha invece unità produttive ubicate in diverse Province della stessa Regione o in più Regioni, l’accordo deve essere stipulato con le associazioni sindacali più rappresentative sul piano nazionale.
Se l’azienda non trova l’accordo, può chiedere l’autorizzazione all’Ispettorato Territoriale del Lavoro ove è ubicata l’unità locale o, nel caso di aziende con sedi dislocate negli ambiti di competenza di più sedi territoriali, all’Ispettorato Nazional del Lavoro.