Perché ora i datori di lavoro dovranno cancellare le mail dei dipendenti entro sette giorni
Sette giorni, e poi tutte le mail dei dipendenti dovranno essere cancellate. È questa la decisione del Garante per la protezione dei dati personali per limitare il controllo dei datori di lavoro sui propri dipententi. La nuova regola vuole "prevenire il trattamento di dati in contrasto con la disciplina sulla protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori", come si legge nella nota. Per questo le mail dei dipendenti non dovranno essere conservate per più di una settimana, "estensibilie in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore", e solo con accordo sindacale o con autorizzazione dell'Ispettorato del Lavoro. Chi trasgredisce verrà sanzionato, sia sotto il profilo penale, sia amministrativo. Per i casi più gravi l'azienda o il datore dovranno pagare una multa che va dal 2 al 4% del fatturato.
Le mail inviate contengono metadati come giorno, ora, mittente, destinatario, oggetto della mail, la conservazione di queste informazioni potrebbe portare o facilitare un controllo indiretto a distanza dell'attività del lavoratore da parte dell'azienda. Il documento, chiamato: “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” è rivolto ai datori di lavoro sia pubblici, sia privati.
Cosa sono i metadati
I metadati citati nel provvedimento sono "informazioni di sottofondo". Dal punto di vista tecnico sono dati che forniscono informazioni su altri dati. Prendiamo come esempio una foto, i metadati possono essere la posizione geografica, il tipo di fotocamera utilizzata, o la data in cui è stata scattata. Possono essere presenti in file digitali, immagini, documenti, o video, e sono utilizzati per la ricerca e l'organizzazione dei file, ma non solo.
I metadati possono anche anche essere utilizzati per tracciare le attività online, monitorare le comunicazioni e le attività di individui o gruppi, per comprendere i modelli di comportamento degli utenti, o localizzare i movimenti di una persona nel corso del tempo. Sono un'arma per la sorveglianza, è quindi importante che rispettino norme etiche e legali per proteggere la privacy degli utenti.
Cosa ha scoperto il Garante
Il Garante ha rilevato durante gli accertamenti programmi e servizi informatici configurati in modo tale da raccogliere e conservare i metadati dei dipendenti come impostazione predefinita. In alcuni casi ha scoperto che "i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti venivano raccolti e conservati in modo preventivo e generalizzato”, e che non era possibile disabilitare o ridurre il periodo di conservazione. I datori di lavoro dovranno quindi verificare che i sistemi di posta elettronica lo permettano per aderire alla normativa.
La nuova misura ha sollevato preoccupazioni, non sarà semplice per le aziende cancellare i metadati in un lasso di tempo così breve, il rischio è di perdere traccia di ogni attività compiuta del personale, creando problemi a livello organizzativo. C'è anche rischio di perdere informazioni rilevanti.
