Dal Garante della Privacy arriva un aggiornamento del documento che detta le regole per la gestione della posta elettronica in ambito lavorativo, in particolare riguardo ai metadati.
Il provvedimento approvato dal Garante della Privacy il 6 giugno apporta corpose modifiche alle linee guida pubblicate lo scorso febbraio e che hanno scatenato agitazione e panico all’interno delle imprese.
A febbraio, infatti, il Garante ha pubblicato le nuove linee guida per il trattamento dei dati personali dei dipendenti da parte dei datori di lavoro che utilizzano programmi forniti anche in modalità cloud per la gestione della posta elettronica.
Nello specifico, si limitava ad un massimo di 7 giorni (estendibili di 48 ore) la raccolta automatica dei metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti, come ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email, e la conservazione per periodi estesi. Per periodi di conservazione più lunghi si rendeva necessario l’accordo sindacale o l’autorizzazione dell’Ispettorato del Lavoro.
Novità che hanno generato non poco caos nelle aziende che da subito hanno manifestato difficoltà di applicazione delle nuove regole, tanto che il Garante ha deciso di sospendere l’efficacia delle linee guida e di avviare una consultazione pubblica.
Con il nuovo provvedimento sembra essere giunti ad una svolta in grado di risolvere le preoccupazioni delle aziende.
L’Autorità ha introdotto alcune modifiche, confermando tuttavia che l’attività di raccolta e conservazione dei metadati delle email aziendali non deve superare i 21 giorni, a meno che non vi siano particolari condizioni che autorizzano l’estensione.
L’eventuale conservazione per un termine ancora più esteso sarà possibile solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, le quali dovranno essere comprovate adeguatamente secondo il principio di accountability.
La definizione aggiornata e più precisa di metadati inquadra i dati registrati automaticamente dai sistemi di posta elettronica. I metadati non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate – ancorché talvolta non immediatamente visibili agli utenti dei software “client” di posta elettronica (i cosiddetti MUA – Mail User Agent) – a formare il cosiddetto envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici.
Dunque, i nuovi obblighi di cancellazione dei metadati non riguardano i contenuti dei messaggi di posta elettronica (né le informazioni tecniche che ne sono parte integrante), che invece restano nella disponibilità del lavoratore, all’interno della casella di posta elettronica aziendale.
Tutti i dettagli sono disponibili nella versione aggiornata del Documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”.