Metadati/log delle e-mail aziendali: il Documento di indirizzo si inserisce in un quadro complesso di norme
ESTRATTO del Dossier TOP24 Diritto “Gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, agg. Luglio 2024
Il tema del corretto trattamento dell’e-mail aziendale, sia sotto il profilo della riservatezza dei dati che della disciplina giuslavoristica, rappresenta un argomento complesso e normativamente stratificato, che ha dato vita, da un lato, a molteplici prese di posizioni giurisprudenziali e, dall’altro, a diversi interventi di cd. “ soft law ”.
Su questa scia si pongono i recenti chiarimenti interpretativi forniti dal Garante per la protezione dei dati personali in questo ambito attraverso il provvedimento approvato il 6 giugno scorso (doc. web n. 10026277), che contiene la versione aggiornata del Documento di indirizzo di fine dicembre 2023 sottoposto al procedimento di consultazione pubblica.
Ma andiamo con ordine.
Il Garante privacy a fine dicembre 2023 ha ritenuto opportuno intervenire sulla delicata tematica della gestione delle e-mail aziendali con il Documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (Registro dei Provvedimenti n. 642 del 21 dicembre 2023 - doc. web n. 9978728), con cui, in particolare, veniva indicato in 7 giorni, estensibili di 48 ore per comprovate esigenze, il periodo di conservazione dei metadati relativi alle e-mail aziendali.
Tuttavia, nei giorni seguenti l’emanazione di tali Linee guida, aziende, imprese ed esperti del settore hanno chiesto chiarimenti al Garante privacy sull’iniziativa, anche alla luce delle evidenti ripercussioni pratiche ed applicative, ed ai conseguenti forti impatti, che tali indicazioni avrebbero sulla gestione delle comunicazioni elettroniche aziendali.
Pertanto, per rispondere alle numerose richieste di chiarimenti ricevute, il Garante il 27 febbraio scorso - rispettivamente con un provvedimento, un comunicato stampa e un avviso pubblico - ha deciso di differire l’efficacia del Documento di indirizzo del dicembre 2023 e di promuovere una consultazione pubblica di 30 giorni sulle forme e sulle modalità di utilizzo che renderebbero necessaria una conservazione dei metadati superiore a quella sopra citata, ipotizzata nel Documento di indirizzo.
La consultazione pubblica ha avuto l’obiettivo di acquisire osservazioni e proposte riguardo alla congruità, in relazione alle finalità perseguite dai datori di lavori pubblici e privati, del termine di conservazione dei metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica e relativi alle operazioni di invio, ricezione e smistamento dei messaggi di posta elettronica e, più in generale alle forme e modalità di utilizzo di tali metadati che ne renderebbero necessaria una conservazione superiore a quella ipotizzata nel citato Documento di indirizzo.
Datori di lavoro pubblici e privati, esperti della disciplina di protezione dei dati e tutti i soggetti interessati hanno avuto quindi a disposizione 30 giorni, a partire dalla pubblicazione dell’avviso pubblico di avvio della medesima consultazione in Gazzetta ufficiale, per inviare al Garante le proprie osservazioni, i commenti, le informazioni, le proposte e tutti gli elementi ritenuti utili al fine di partecipare alla consultazione pubblica.
Successivamente e come anticipato, con il Provvedimento del 6 giugno scorso, il Garante privacy, viste le osservazioni e le proposte intervenute nell’ambito della consultazione pubblica, ha adottato la versione aggiornata del Documento di indirizzo citato.
In estrema sintesi, nella versione aggiornata, il termine di 7 giorni per la conservazione dei metadati/log delle e-mail aziendali viene esteso a 21 giorni e, parallelamente, il nuovo documento contiene precisazioni e chiarimenti nuovi, a partire dalla più chiara definizione di che cosa si deve intendere, nell’ambito del Documento di indirizzo stesso, per “ metadato di posta elettronica ”, concetto che il Garante ritiene sovrapponibile alla locuzione “ log di posta elettronica ”, restringendo quindi il campo di applicazione oggettivo dell’intervento.
L’Autorità di controllo ribadisce la finalità del Documento di indirizzo, che ha lo scopo di richiamare l’attenzione su taluni punti di intersezione tra la disciplina di protezione dei dati e le norme che stabiliscono le condizioni per l’impiego degli strumenti tecnologici nei luoghi di lavoro e, più in particolare, di promuovere la consapevolezza sulle scelte tecniche e organizzative dei datori di lavoro, in qualità di titolari del trattamento, nonché di prevenire iniziative e trattamenti di dati in contrasto con la disciplina privacy e le norme, in ambito labour, che tutelano la libertà e la dignità dei lavoratori.
L’approccio del Garante privacy, rispetto a tale tema, si può considerare “ innovativo ” soprattutto in relazione alla fissazione di precise “ delimitazioni temporali ” per la conservazione e la conseguente necessaria eliminazione dei metadati/log che caratterizzano le e-mail aziendali. Tuttavia, l’Autorità di controllo, in esito alla consultazione pubblica, ci tiene a precisare che il Documento di indirizzo ha “natura orientativa” / interpretativa (non avendo valore precettivo) e, di conseguenza, dallo stesso non discendono nuovi adempimenti o responsabilità per i titolari del trattamento (nella specie, per i datori di lavoro).
LEGGI IL DOSSIER Gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati
