Sospese le nuove linee guida del Garante Privacy sulla conservazione dei metadati delle email dei dipendenti, limitata a 7 giorni, massimo 9 giorni in casi particolari (comprovate e documentate esigenze).
Tali direttive sono state emanate il 21 febbraio, sollevando però numerose perplessità tra le aziende chiamate ad adeguarsi, tanto da far intervenire lo stesso Ministero del Lavoro.
Non significa che il nuovo documento di indirizzo non entrerà in vigore ma, considerando le difficoltà operative, l’Autorità ha deciso di rinviarne l’applicazione avviando una consultazione pubblica per acquisire osservazioni e proposte sulla congruità del termine di conservazione dei metadati (giorno, ora, mittente, destinatario, oggetto, dimensione del messaggio, ecc.) delle email dei dipendenti.
Le restrizioni erano state motivate dal timore di limitare l privacy dei lavoratori con una sorta di strumento di controllo a distanza.
I metadati, infatti, possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei computer coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione e di ricezione, la dimensione del messaggio, la presenza e la dimensione degli eventuali allegati, in certi casi anche l’oggetto del messaggio spedito o ricevuto.
Ora, però, l’Authority ha fatto una marcia indietro, anche perché i metadati servono a gestire il servizio di posta elettronica ed il rispetto delle nuove regole potrebbe creare seri problemi di funzionamento.
La consultazione pubblica mira proprio ad acquisire dai datori di lavoro le spiegazioni pratiche sull’utilizzo dei metadati e sulla loro necessità. Durerà 30 giorni a partire dalla pubblicazione del provvedimento di apertura in Gazzetta Ufficiale.
E’ possibile partecipare via posta ordinaria, inviando le proprie osservazioni al Garante (Piazza Venezia 11, 00187 – Roma) oppure via mail all’indirizzo protocollo@gpdp.it oppure protocollo@pec.gpdp.it indicando nell’oggetto “Consultazione sul termine di conservazione dei metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica”.
I contributi inviati non sono vincolanti di successive determinazioni del Garante Privacy ma potranno aiutare l’Autorità a definire un quadro procedurale più affine alle esigenze aziendali.