Mail dei lavoratori: il Garante modifica il documento di indirizzo sulla cancellazione dei metadati
Non più 7 giorni, ma 21 giorni come limite massimo per la raccolta e la conservazione dei soli metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica
Il tema della cancellazione dei metadati delle mail dei lavorati dipendenti è sorto nel mese di febbraio quando il Garante Privacy ha pubblicato un documento di indirizzo che mirava a dare indicazioni ai datori di lavoro, sia privati che pubblici, sui rischi dei trattamenti relativi ai metadati. In particolare, il documento prevedeva un termine massimo di 7 giorni per la conservazione dei metadati relativi alle mail dei dipendenti.
Tante sono state le perplessità e le richieste di chiarimento, anche da parte di Confindustria, Abi e Confcommercio che invocavano una maggiore autonomia per i datori di lavoro.
Il Garante ha quindi avviato una consultazione pubblica i cui esiti sono confluiti nella nuova versione del documento, pubblicata con provvedimento datato 6 giugno 2024.
In primo luogo, nel documento si legge che il testo «non reca prescrizioni né introduce nuovi adempimenti a carico dei titolari del trattamento ma intende offrire una ricostruzione sistematica delle disposizioni applicabili in tale specifico ambito, alla luce di talune precedenti decisioni dell’Autorità». In altre parole, da queste linee di indirizzo non discendono nuovi adempimenti o responsabilità per i datori di lavoro.
Viene poi meglio definita la nozione di metadati soggetti alle indicazioni del documento. Si tratta infatti solo di dati registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà del lavoratore. Questi metadati «non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate». Insomma, il contenuto delle mail resta nella disponibilità del lavoratore, all’interno della sua casella di posta elettronica.
Quanto al limite di tempo per la raccolta e la conservazione dei metadati, la nuova versione del documento fa riferimento ad «un periodo limitato a pochi giorni; a titolo orientativo, tale conservazione non dovrebbe comunque superare i 21 giorni». L’eventuale conservazione per un termine più ampio può essere effettuata solo in presenza di particolari condizioni, adeguatamente dimostrate, e in applicazione del principio di previsto dall’art. 5 del GDPR.