In data 21 dicembre 2023, con provvedimento n. 9978728, il Garante per la Protezione dei Dati Personali ha emanato il “Documento di indirizzo ‘Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati’” (C.d. Linee – Guida). Esse hanno suscitato molta attenzione per il loro possibile impatto sulle aziende.
Il Garante, infatti, ha stabilito che chi conserva per oltre 7 giorni i c.d. “metadati” (data, ora, mittente, destinatario, oggetto e dimensione) dei dipendenti, opera un trattamento illecito di dati personali e rischia sanzioni sia civili che penali. All’interno del documento viene stabilito, inoltre, che il datore di lavoro può provvedere, autonomamente, ad una mini proroga di massimo 48 ore; in particolare, il periodo di conservazione di questi dati «non può essere superiore di norma a poche ore o ad alcuni giorni, in ogni caso non oltre 7 giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore».
I datori di lavoro che vogliono o abbiano esigenza di tenere nel cloud i metadati per un lasso temporale eccedente i 9 giorni, devono obbligatoriamente sottoscrivere un accordo con la rappresentanza sindacale aziendale o, in mancanza di quest’ultima, con le rappresentanze sindacali unitarie, al fine di attivare il meccanismo perentoriamente previsto dall’art. 4, comm. 2, L. n. 300/1970 (c.d. “Statuto dei lavoratori“) per operare un controllo indiretto a distanza dei lavoratori. In mancanza di tale accordo è possibile richiedere l’autorizzazione all’ispettorato nazionale del lavoro.
L’impatto di tale provvedimento per le aziende comporterà: sostanziali aggiornamenti delle informative privacy per i dipendenti, eseguire una valutazione di impatto sui diritti fondamentali, eseguire test di bilanciamento, rivedere la politica di conservazione dei dati.