Sta creando una certa confusione e preoccupazione la recente indicazione del Garante Privacy sui limiti alla conservazione dei metadati delle email relative agli account di posta elettronica utilizzati dai dipendenti: l’archiviazione di queste informazioni non può estendersi oltre un determinato arco temporale, perché una raccolta generalizzata rischia di violare le regole sul trattamento dei dati personali in ambito lavorativo.
Vediamo cosa prevedono le nuove linee di indirizzo e le prime anticipazioni del Ministro del Lavoro.
Email aziendali: metadati non oltre 9 giorni
Il provvedimento del Garante fa riferimento al documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”.
Secondo il Garante, il contenuto dei messaggi delle email aziendali (compresi i dati esteriori delle comunicazioni e i file allegati) rappresentano forme di corrispondenza coperte da garanzie di segretezza volte a tutelare la dignità della persona e il pieno sviluppo della sua personalità nelle formazioni sociali, come previsto dalla Costituzione.
L’attività di raccolta e conservazione dei metadati necessari per il funzionamento delle infrastrutture del sistema della posta elettronica, quindi, non può essere superiore a poche ore o ad alcuni giorni (ma sempre senza superare la soglia massima dei 7 giorni), che possono essere incrementati di altre 48 ore solo in presenza di comprovate e documentate esigenze.
Una conservazione più ampia dal punto di vista temporale, infatti, potrebbe comportare da parte del datore di lavoro un controllo indiretto a distanza dell’attività dei lavoratori.
Come devono mettersi in regola i datori di lavoro?
Il dubbio dei datori di lavoro che operano attraverso sistemi cloud, con account aziendali tramite cui forniscono ai dipendenti le caselle di posta, è adesso quello di una corretta gestione delle email negli archivi stessi, che per ovvie ragioni di lavoro rimangono archiviate negli account personali dei lavoratori ma ormai quasi sempre anche su webmail cloud piuttosto che scaricate in locale nei pc dei dipendenti.
Il punto è che la direttiva del Garante fa riferimento ai metadati, per molti datori di lavoro un termine oscuro e di difficile comprensione, che si riferisce ad informazioni “sensibili” a corredo delle email, come ad esempio mittente e destinatario, data e orario di invio, IP del mittente e del server di trasmissione ecc. Tutti dati che il Garante reputa oggetto di riservatezza e pertanto da non conservare oltre un certo lasso di tempo, che deve ridursi al minimo.
Tecnicamente, invece, di default molto spesso i sistemi li conservano in via permanente, spesso senza neppure al datore di lavoro di modificare queste impostazioni.
Sulla questione è intervenuta anche il Ministro del Lavoro, Marina Calderone, che si è impegnata a trovare il prima possibile delle procedure operative da indicare alle aziende in modo tale da semplificare le operazioni di conformità necessarie.
Sulla questione delle email aziendali, dopo la presa di posizione del Garante Privacy che permette la loro conservazione al massimo per 7 giorni, stiamo cercando di individuare una corsia semplificata con l’Ispettorato del Lavoro.
Dobbiamo fare in modo che le aziende possano adempiere agli obblighi senza troppe complicazioni.