Nel dibattito sul controllo dei dipendenti e privacy, un ruolo cruciale è svolto dai log metadati generati dai sistemi aziendali di posta elettronica. Questo tema è saltato agli onori della cronaca proprio in questi giorni, a seguito della sanzione comminata dal Garante della Privacy alla Regione Lombardia.
Si tratta di dati tecnici registrati automaticamente dai server quando un'email viene inviata, ricevuta o inoltrata. Queste informazioni, note anche come log di trasporto, non contengono il contenuto dei messaggi, ma documentano le interazioni tra server e account di posta elettronica.
I Log Metadati sono informazioni che descrivono altri dati. Nel contesto delle email aziendali, includono elementi come:
Questi dati sono fondamentali per il funzionamento tecnico dei sistemi di posta e vengono utilizzati per garantire la sicurezza e l’efficienza della rete aziendale.
Sebbene i log metadati non siano considerati contenuti personali in senso stretto, il loro trattamento può comunque avere implicazioni sulla Privacy dei lavoratori, soprattutto se combinato con altre informazioni identificabili. Per questo motivo, il Garante privacy ha definito limiti precisi per il loro utilizzo e conservazione.
Il Garante ha stabilito che i log metadati possono essere conservati per un massimo di 21 giorni, esclusivamente per finalità di sicurezza informatica, come il rilevamento di anomalie, accessi non autorizzati o violazioni dei sistemi.
Per essere in regola con la normativa sul trattamento dei dati, le aziende devono:
In sintesi, i log metadati aziendali rappresentano un elemento tecnico essenziale per la gestione della posta elettronica, ma non devono essere confusi con strumenti di sorveglianza. La loro gestione deve sempre rispettare il principio di proporzionalità e le tutele previste dal quadro normativo europeo e nazionale sulla privacy.
Il Garante per la protezione dei dati personali ha comminato una sanzione di 50.000 euro alla Regione Lombardia per il trattamento illecito dei log di navigazione internet e dei metadati delle email dei dipendenti. L’Autorità ha riscontrato che tali dati venivano raccolti e conservati senza un accordo collettivo con le rappresentanze sindacali e senza adeguate garanzie a tutela dei lavoratori.
In particolare, si legge nella documentazione: "la Regione monitorava le attività online dei dipendenti raccogliendo informazioni sui siti web visitati – compresi i tentativi falliti di accesso a siti inseriti in una black list – e i metadati delle email, come orari, destinatari e oggetto delle comunicazioni. Queste pratiche, non solo non conformi alla normativa, permettevano al datore di lavoro di accedere anche a informazioni non pertinenti all’attività lavorativa e relative alla sfera privata dei dipendenti".
Il datore di lavoro può raccogliere i log di navigazione in Internet e i metadati delle e-mail dei dipendenti solo in presenza di specifiche condizioni e garanzie. Lo ha ribadito il Garante privacy, sottolineando che simili trattamenti sono leciti solo se rispettano principi di trasparenza, minimizzazione dei dati e necessità, e devono essere accompagnati da adeguate misure tecniche e organizzative, nonché da un accordo sindacale o un atto autorizzativo conforme allo Statuto dei lavoratori.
Il Garante ha inoltre ordinato alla Regione una serie di misure correttive, tra cui: l’anonimizzazione dei log relativi ai tentativi di accesso falliti, la cifratura dei dati riguardanti i nomi dei dipendenti assegnatari dei dispositivi e la riduzione del tempo di conservazione delle informazioni raccolte.
Solo adottando policy chiare, strumenti proporzionati e coinvolgendo le rappresentanze sindacali, i datori di lavoro possono monitorare l’uso delle risorse aziendali senza violare i diritti dei lavoratori. Hai qualche dubbio sulla conformità della tua azienda rispetto al Regolamento Protezione Dati? Togliti ogni dubbio utilizzando lo strumento di valutazione che trovi qui sotto.