Compliance al GDPR: nuovo documento d’indirizzo sul trattamento dei “metadati” della posta elettronica

Occorre anzitutto una premessa: cosa sono i metadati della posta elettronica?

Sono delle informazioni relative alla posta elettronica finalizzate a migliorarne la visibilità, la ricerca e l’accesso. Sostanzialmente sono delle “stringhe descrittive”, che rappresentano le caratteristiche o le proprietà della e-mail, ma non il contenuto o gli allegati. Tipicamente sono: il giorno, l’ora, il mittente, il destinatario, l’oggetto e la dimensione.

Chiarito ciò, non resta che esaminare il recente Documento d’indirizzo adottato in materia dall’Autorità Garante con provvedimento del 21.12.2023, di rilevante impatto nella vita delle aziende.

Il provvedimento infatti ha fissato vincoli molto restrittivi all’utilizzo da parte dei datori di lavoro (pubblici e privati) di programmi e servizi informatici per la gestione della posta elettronica (soprattutto se operanti in modalità cloud o as-a-service) che implichino la raccolta di metadati, stabilendo uno stringente limite di conservazione degli stessi che, in linea di massima, «non può essere superiore di norma a poche ore o ad alcuni giorni, in ogni caso non oltre sette giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore».

Cosa deve fare, dunque, il datore di lavoro?

Secondo lo stesso Garante i datori devono anzitutto verificare che le impostazioni dei programmi informatici adoperati non consentano la raccolta dei metadati o ne limitino la conservazione ad un massimo di 7 giorni, estensibili di ulteriori 48 ore.

Ma c’è un’altra novità. Il Garante ha infatti precisato che il trattamento di metadati oltre tale arco temporale integra un indiretto controllo a distanza dell’attività del lavoratore.

Pertanto ove l’azienda, per esigenze organizzative e produttive o di tutela del patrimonio aziendale, ritenesse di dover conservare i metadati per un periodo superiore, dovranno essere espletate le procedure di garanzia previste dall’art. 4 dello Statuto dei lavoratori.

Occorrerà pertanto addivenire ad accordo sindacale ovvero ottenere autorizzazione dell’Ispettorato del lavoro.

Oltre a ciò dovrà sempre ed in ogni caso essere assicurata la trasparenza nei confronti dei lavoratori, mediante adeguata informativa sul trattamento dei dati personali effettuato anche per il tramite della posta elettronica e dei programmi informatici di relativa conservazione e gestione.

A pena, come sempre, di elevate sanzioni.

L’impatto del provvedimento è evidente.

Per consultare il provvedimento del Garante Pivacy clicca qui.

M. Motton