Mail aziendali, il Garante rinvia l’entrata in vigore delle linee guida e avvia una consultazione pubblica
La consultazione pubblica è volta ad acquisire osservazioni e proposte riguardo alla congruità del termine di 7 giorni per la conservazione dei metadati
Aziende ed enti devono porre la massima attenzione nella gestione e nella conservazione delle e-mail di dipendenti e collaboratori.
Il tema del corretto trattamento dell’e-mail aziendale, sia sotto il profilo della riservatezza dei dati che della disciplina giuslavoristica, rappresenta un argomento complesso e normativamente stratificato, che ha dato vita, da un lato, a molteplici prese di posizioni giurisprudenziali e, dall’altro, a diversi interventi di cd. “ soft law ”.
Su questa scia, si pone la presa di posizione di fine dicembre scorso del Garante per la protezione dei dati personali, il quale ha ritenuto opportuno intervenire su questa delicata tematica con il Documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (Registro dei Provvedimenti n. 642 del 21 dicembre 2023 - doc. web n. 9978728), con cui, in particolare, veniva indicato in 7 giorni, estensibili di 48 ore per comprovate esigenze, il periodo di conservazione dei metadati degli account dei servizi di posta elettronica.
Tuttavia, nei giorni seguenti l’emanazione di tali Linee guida, aziende, imprese ed esperti del settore hanno chiesto chiarimenti al Garante privacy sull’iniziativa, anche alla luce delle evidenti ripercussioni pratiche ed applicative, ed ai conseguenti forti impatti, che tali indicazioni avrebbero sulla gestione delle comunicazioni elettroniche aziendali.
Pertanto, per rispondere alle numerose richieste di chiarimenti ricevute, il Garante il 27 febbraio scorso - rispettivamente con un provvedimento, un comunicato stampa e un avviso pubblico - ha deciso di differire l’efficacia del Documento di indirizzo e di promuovere una consultazione pubblica di 30 giorni sulle forme e sulle modalità di utilizzo che renderebbero necessaria una conservazione dei metadati superiore a quella sopra citata, ipotizzata nel Documento di indirizzo.
Nello specifico, ora si avvia la consultazione pubblica volta ad acquisire osservazioni e proposte riguardo alla congruità, in relazione alle finalità perseguite dai datori di lavori pubblici e privati, del termine di conservazione dei metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica e relativi alle operazioni di invio, ricezione e smistamento dei messaggi di posta elettronica (che possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei computer coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione e di ricezione, la dimensione del messaggio, la presenza e la dimensione degli eventuali allegati, in certi casi anche l’oggetto del messaggio spedito o ricevuto) e, più in generale alle forme e modalità di utilizzo di tali metadati che ne renderebbero necessaria una conservazione superiore a quella ipotizzata nel citato Documento di indirizzo.
Datori di lavoro pubblici e privati, esperti della disciplina di protezione dei dati e tutti i soggetti interessati avranno a disposizione 30 giorni, a partire dalla pubblicazione dell’avviso pubblico di avvio della medesima consultazione in Gazzetta ufficiale, per inviare al Garante le proprie osservazioni, i commenti, le informazioni, le proposte e tutti gli elementi ritenuti utili, tramite posta ordinaria o alle caselle protocollo@gpdp.it oppure protocollo@pec.gpdp.it.
Decorsi i 30 giorni, “il Garante si riserva di adottare ulteriori determinazioni o, in caso di mancata adozione di ulteriori determinazioni”, l’efficacia del Documento di indirizzo viene automaticamente differita “al sessantesimo giorno successivo la scadenza del termine per la presentazione dei contributi richiesti nell’ambito della consultazione medesima”.
Nella fase, in cui, potremmo dire, la consultazione pubblica e l’efficacia del Documento sono “in itinere”, è consigliabile che aziende ed enti facciano un “ check interno ” ed un necessario approfondimento in ordine alle modalità concrete attraverso le quali gestiscono, allo stato attuale, le mail aziendali svolgendo eventuali attività di audit (naturalmente anche con controlli esterni sui fornitori dei servizi di account di posta elettronica, se esistenti). Questa analisi preliminare consentirebbe ai datori di lavoro, sia pubblici che privati, di essere pronti a recepire al meglio le indicazioni “definitive” dell’Autorità di controllo che risulteranno all’esito del procedimento di consultazione.
_______
