Nel mese di dicembre, il Garante Privacy ha emesso un'ordinanza che ha un impatto significativo sulle pratiche aziendali riguardanti il controllo della posta elettronica dei dipendenti. L'ordinanza, scattata a seguito di una segnalazione sindacale, ha portato a una sanzione nei confronti della Regione Lazio per violazioni delle norme sulla riservatezza dei dati, compresi gli articoli 113 e 114 del Codice Privacy e il GDPR, per l'uso dei metadati dell'email dei dipendenti senza le adeguate tutele per la riservatezza e il rispetto delle norme sul controllo a distanza dei lavoratori.
Attività sanzionata
La Regione Lazio è stata sanzionata a seguito di controlli effettuati sulla posta elettronica del personale, che ingteressavano l'analisi dei metadati tramite un fornitore terzo. Tali controlli, che non coinvolgevano il contenuto delle email ma solamente dati come mittente, destinatario, oggetto e dimensione dell'email, sono stati considerati in violazione dei principi del GDPR e delle norme sulla privacy dei lavoratori.
Decisione del Garante: Violazioni al GDPR
Il Garante ha ritenuto che i controlli effettuati dalla Regione Lazio violassero i principi del GDPR, mancando di adeguata informativa agli interessati, trasparenza nei procedimenti e una valutazione d'impatto sulla protezione dei dati. Inoltre, l'uso prolungato dei metadati per 180 giorni è stato considerato non conforme alla disciplina sui controlli a distanza dei lavoratori.
Mancato rispetto della disciplina sui controlli a distanza dei lavoratori
La gestione dei metadati dell'email dei dipendenti è stata sottoposta a un'attenzione particolare in quanto può comportare un controllo indiretto sull'attività lavorativa. Il Garante ha precisato che la conservazione dei metadati oltre i sette giorni richiede un accordo sindacale o un'autorizzazione dell'ispettorato del lavoro per essere legittima.
Implicazioni per i titolari del trattamento
Il Garante ha sottolineato l'importanza della corretta gestione dei metadati della posta elettronica dei dipendenti per garantire la sicurezza informatica aziendale e la privacy dei lavoratori. Si consiglia ai titolari del trattamento di verificare le proprie pratiche in materia di controllo della posta elettronica, assicurandosi di rispettare le normative sulla privacy e la disciplina sui controlli a distanza dei lavoratori.
In caso di conservazione prolungata dei metadati, è fondamentale ottenere le necessarie autorizzazioni per garantire la liceità del trattamento dei dati.
Se hai dubbi sulla corretta gestione della posta elettronica dei tuoi dipendenti contattaci
