Los empresarios públicos y privados que utilizan programas también disponibles en modo nube para la gestión del correo electrónico disponen ahora de nueva información útil para evitar tratamientos de datos que entren en conflicto con las normas de protección de datos y las normas que protegen la libertad y la dignidad de los trabajadores. De hecho, el Garante para la Protección de Datos Personales ha adoptado un documento de orientación sobre la conservación de los datos relativos al correo electrónico de las empresas denominado «Programas y servicios informáticos para la gestión del correo electrónico en el contexto laboral y el procesamiento de metadatos» dirigido a empleadores públicos y privados.
El documento nació tras investigaciones realizadas por la Autoridad de las que se desprende que algunos programas y servicios informáticos para la gestión del correo electrónico, comercializados por proveedores también en modo nube, están configurados de tal manera que recopilan y almacenan, por defecto, de forma preventiva y generalizada – metadatos relacionados con el uso de cuentas de correo electrónico de empleados (por ejemplo, día, hora, remitente, destinatario, asunto y tamaño del correo electrónico). En algunos casos también se encontró que los sistemas no permiten a los empleadores desactivar la recopilación sistemática de datos y acortar el período de retención.
Con el documentoComo ilustra el boletín del 6 de febrero, el Garante pide a los empresarios que verifiquen que los programas y servicios informáticos de gestión del correo electrónico utilizados por los empleados (especialmente en el caso de productos de mercado ofrecidos en la nube o como servicio) permiten modificar la configuración básica, impidiendo la recogida de metadatos o limitando su período de conservación a un máximo de 7 días, ampliable, en presencia de necesidades comprobadas, a 48 horas más. Plazo considerado adecuado, desde un punto de vista puramente técnico, para garantizar el regular funcionamiento del correo electrónico utilizado por el trabajador.
Los empleadores que, por necesidades organizativas y de producción o para la protección de los activos de información del propietario (en particular, por ejemplo, por necesidades específicas de seguridad del sistema) necesiten procesar metadatos durante un período de tiempo más largo, deberán llevar a cabo los procedimientos de garantía previstos. previsto por el Estatuto de los Trabajadores (convenio sindical o autorización de la inspección del trabajo). La ampliación del plazo de conservación más allá del plazo fijado por el Garante puede, de hecho, dar lugar a un control remoto indirecto de la actividad del trabajador.