Dal Garante della Privacy arriva un aggiornamento del documento che detta le regole per la gestione della posta elettronica in ambito lavorativo, in particolare riguardo ai metadati.
Rivedendo le linee di indirizzo rilasciate lo scorso febbraio, infatti, l’Autorità ha introdotto alcune modifiche, confermando tuttavia che l’attività di raccolta e conservazione dei metadati delle email aziendali non deve superare i 21 giorni, a meno che non vi siano particolari condizioni che autorizzano l’estensione.
Il Garante fornisce però una definizione aggiornata dei metadati, che sono registrati automaticamente dai sistemi di posta elettronica, a prescindere dalla volontà dell’utilizzatore (sia quelli di origine tecnica sia quelli determinati dagli utenti).
Non devono dunque essere confusi con le informazioni di testo contenute nel corpo del messaggio dei messaggi di posta elettronica.
Gli stessi metadati, come qui intesi, non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate – ancorché talvolta non immediatamente visibili agli utenti dei software “client” di posta elettronica (i cosiddetti MUA – Mail User Agent) – a formare il cosiddetto envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici.
Le informazioni contenute nell’envelope sono inscindibili dal messaggio, sebbene siano corrispondenti a metadati registrati automaticamente nei log dei servizi di posta.
Dunque, i nuovi obblighi di cancellazione dei metadati non riguardano i contenuti dei messaggi di posta elettronica (né le informazioni tecniche che ne sono parte integrante), che invece restano nella disponibilità del lavoratore, all’interno della casella di posta elettronica aziendale.
Tutti i dettagli sono disponibili nella versione aggiornata del Documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (all. n. 1), parte integrante del provvedimento.