Il Garante privacy interviene sulle nuove regole per le email dei lavoratori.
Oggi l’Autorità Garante per la protezione dei dati personali presieduta da Pasquale Stanzione ha annunciato l’avvio di una “consultazione pubblica sulla congruità del termine di conservazione dei metadati degli account dei servizi di posta elettronica dei dipendenti (giorno, ora, mittente, destinatario, oggetto, dimensione dell’e-mail)”.
La mossa dell’authority segue la pubblicazione dello scorso 6 febbraio di un documento di indirizzo dal Garante (risalente al 21 dicembre 2023) per la gestione della posta elettronica, con il quale disponeva un termine di conservazione dei metadati di 7 giorni, prorogabili di ulteriori 48 ore per esigenze comprovate.
Il provvedimento ha immediatamente suscitato polemiche e sollevato perplessità a causa dei vincoli molto restrittivi per la gestione delle email dei dipendenti. La misura rischia “di creare problemi gestionali molto rilevanti, perché è quasi impensabile che un’azienda possa cancellare i metadati entro un lasso di tempo così ristretto: significherebbe perdere la memoria di qualsiasi attività compiuta dal personale, con dei rischi legali e imprenditoriali incalcolabili” secondo Giampiero Falasca, avvocato giuslavorista, Partner DLA Piper, come spiegato sul Sole 24 Ore.
Pertanto, “per rispondere alle numerose richieste di chiarimenti ricevute, il Garante ha dunque deciso di differire l’efficacia del documento di indirizzo e promuovere una consultazione pubblica di 30 giorni sulle forme e modalità di utilizzo che renderebbero necessaria una conservazione dei metadati superiore a quella ipotizzata nel documento di indirizzo” ha comunicato stamani l’autorità.
Tutti i dettagli.
LA PREMESSA DEL GARANTE
Partiamo dall’origine. Nel documento di indirizzo pubblicato con la newsletter n. 517 del 6 febbraio 2024, l’authority spiegava che “Nell’ambito di accertamenti condotti dal Garante con riguardo ai trattamenti di dati personali effettuati nel contesto lavorativo è emerso il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email), conservando gli stessi per un esteso arco temporale. Ciò talvolta ponendo, altresì, limitazioni al cliente (datore di lavoro) in ordine alla possibilità di modificare le impostazioni di base del programma informatico al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi”.
IL PROVVEDIMENTO
Alla luce di quanto premesso, il Garante ha quindi adottato un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, attraverso il quale “i datori di lavoro pubblici e privati, che per la gestione della e-mail utilizzano programmi forniti anche in modalità cloud, da oggi hanno a disposizione nuove indicazioni utili a prevenire trattamenti di dati in contrasto con la disciplina sulla protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori”.
In base al provvedimento, per i datori di lavoro “si rende necessario verificare con la dovuta diligenza che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service – consentano al cliente (datore di lavoro) di modificare le impostazioni di base, impedendo la raccolta dei predetti metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di sette giorni, estensibile di ulteriori 48 ore, alle condizioni indicate al par. 3.”
Per periodi di conservazione più lunghi si richiede l’accordo sindacale o l’autorizzazione dell’Ispettorato del lavoro.
LE REAZIONI
Come già accennato, il provvedimento ha scatenato polemiche nel mondo del lavoro dal momento che la misura ha impatti sulla normale gestione di un’azienda. Senza metadati — ovvero data, ora, mittente, destinatario o oggetto — è pressoché impossibile rintracciare una mail. Con la cancellazione dei metadati in sette giorni, la “memoria” di un’azienda sarebbe azzerata trascorsa ogni settimana con conseguenti problemi legati all’attività quotidiana.
LA CONSULTAZIONE PUBBLICA
Da qui il ripensamento dell’Autorità garante per la protezione dei dati personali con l’avvio di una consultazione pubblica.
“Datori di lavoro pubblici e privati, esperti della disciplina di protezione dei dati e tutti i soggetti interessati avranno a disposizione 30 giorni, a partire dalla pubblicazione in Gazzetta ufficiale, per inviare al Garante le proprie osservazioni, i commenti, le informazioni, le proposte e tutti gli elementi ritenuti utili” scrive oggi l’authority.
IL COMMENTO DEGLI ESPERTI LEGALI
Immediato il sollievo degli esperti legali.
“L’Autorità Garante per la protezione dei dati personali ha sospeso e differito l’efficacia delle nuove linee guida sui metadati delle e-mail dei dipendenti! A neanche un mese dalla notizia delle nuove linee guida, sembra che il Garante Privacy abbia colto le forti preoccupazioni di queste settimane in merito all’impatto e alle limitazioni che tutte le società, inclusi i fornitori di cloud e SaaS, avrebbero dovuto gestire.Con una consultazione pubblica di 30 giorni, dunque, l’Autorità ha aperto alla possibilità di rivedere e modificare la propria posizione alla luce dei contributi che saranno raccolti nei giorni a venire” ha evidenziato sul suo profilo Linkedin Francesco Cerciello, avvocato presso lo studio legale Gianni & Origoni.
“Una scelta saggia che apre la strada a un ripensamento importante: i “metadati” sono strumenti di lavoro e così vanno trattati, non c’entra il controllo a distanza”, secondo l’avvocato Giampiero Falasca, che su X ha commentato la decisione del Garante di sospendere le linee guida sulla conservazione dei metadati delle mail e lanciare una consultazione pubblica.
