Il Garante Privacy rivede le linee guida sui metadati delle e-mail dei dipendenti

Alcuni mesi fa, un Provvedimento del Garante Privacy aveva individuato le Linee guida in tema di conservazione dei metadati delle e-mail aziendali dei dipendenti, suscitando preoccupazioni fra le imprese per l’esiguità del tempo – pari a 7 giorni, estensibili di 48h in caso di particolari necessità – trascorso il quale il Garante riteneva dovesse essere attivata la procedura di cui all’art. 4, co. 1, dello Statuto dei lavoratori per l’autorizzazione all’utilizzo di strumenti dai quali possa derivare la possibilità di controllo a distanza dell’attività lavorativa. In seguito alle osservazioni ricevute, il Garante aveva attivato una procedura di consultazione pubblica al fine di raccogliere informazioni utili per una revisione delle Linee guida.

All’esito della consultazione, con Provvedimento del 6 giugno, reso pubblico il 14 giugno, il Garante ha introdotto modifiche al Documento di indirizzo che consentono di stemperare almeno in parte le iniziali preoccupazioni. Intanto, è precisato cosa debba intendersi per metadati cui il Documento fa riferimento: informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client, che possono ricomprendere gli indirizzi del mittente e del destinatario, gli indirizzi IP, gli orari di invio, ecc., che sono registrati automaticamente dai sistemi. Essi non devono essere confusi con le informazioni contenute nei messaggi o in esso integrate o allegate, che sono inscindibili dal messaggio e rimangono sotto l’esclusivo controllo dell’utente (sia esso il mittente o il destinatario).

Inoltre, il Garante ha esteso il periodo per il quale è possibile conservare i metadati senza necessità di fare ricorso alla procedura di autorizzazione di cui all’art. 4, co. 1, dello Statuto: i metadati necessari per assicurare il funzionamento delle infrastrutture del sistema di posta potranno essere raccolti e conservati per un periodo pari a 21 giorni, ulteriormente estensibili in presenza di particolari condizioni che ne rendano necessaria l’estensione. In quest’ultimo caso, dovranno essere adeguatamente comprovate, in applicazione del principio di accountability, le specificità della realtà tecnica e organizzativa del datore titolare del trattamento dei dati.

Si porta infine l’attenzione sulla circostanza che il Provvedimento in questione afferma (punto 3): “Diversamente, la generalizzata raccolta e la conservazione dei log di posta elettronica, per un lasso di tempo più esteso, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta L. n. 300/1970 (v., da ultimo, provv. 1° dicembre 2022, n. 409, doc. web n. 9833530). Resta fermo che anche tale conservazione dovrà avvenire nel rispetto del principio di limitazione della conservazione”.