L’Autorità Garante per la protezione dei dati personali, con newsletter del febbraio scorso ha reso noto di aver adottato un “Documento di indirizzo” volto a fornire nuove indicazioni alla generalità di datori di lavoro sia pubblici che privati, circa l’utilizzo dei metadati (es. giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail) generati dalla corrispondenza e-mail dei propri prestatori di lavoro (doc-web n. 9978728).
Con l’occasione, il Garante è tornato ad occuparsi del corretto utilizzo delle caselle di posta elettronica dei lavoratori, nell’ottica di una più efficace tutela della dignità e libertà degli stessi.
In particolare, il Garante ha ribadito l’obbligo di conformarsi alle garanzie previste dell’art. 4 della L. 300/1970 oltre che agli artt. 5, 6 e 88 del GDPR, al fine di garantire la sussistenza di un idoneo presupposto per la raccolta e conservazione dei metadati, nel rispetto dei principi di privacy by design e by default, sempre offrendo una adeguata informazione/informativa ai prestatori di lavoro, che devono essere consapevoli del tipo di trattamento che coinvolge i propri dati personali.
Alcune perplessità emergono in particolare relativamente a quanto affermato in merito ai tempi di conservazione dei suddetti metadati, che non potranno essere di norma superiori a sette giorni, estensibili di ulteriori 48 ore in presenza di comprovate e documentate esigenze. Nel caso in cui le tempistiche di conservazione dovessero essere maggiori, dovranno allora essere espletate le procedure di garanzia previste dall’art. 4, c. 1 della l. n. 300/1970 quali l’accordo sindacale o l’autorizzazione pubblica. Si evidenzia che detto limite non si applica però ai messaggi di posta elettronica stessi che potrebbero essere massivamente conservati per un periodo più lungo ma comunque non pluriennale, salvo eccezioni.
Inoltre, non è chiaro se il Garante voglia far riferimento a tutti i metadati come generati dagli applicativi utilizzati per la gestione della stessa, oppure alla parte di metadati raccolti e trattati da sistemi Security Information and Event Management (SIEM) o Security Operations Center (SOC), con il rischio di compromettere l’efficienza del lavoro quotidiano che comporta ricerche nei messaggi e-mail che normalmente si scambiano con clienti, fornitori e colleghi etc.
Infine, non viene offerta nessuna distinzione rispetto ai titolari del trattamento che si sono dotati di policy ad hoc finalizzate a limitare l’uso della posta elettronica professionale, che così facendo hanno ridotto ai minimi termini l’impatto sul trattamento dei dati personali dei propri dipendenti.
In ragione dei molteplici dubbi che il citato documento ha generato nei lettori, il Garante il 27 febbraio ha differito l’efficacia del “Documento di indirizzo” ed ha avviato una consultazione pubblica della durata di 30 giorni sulle forme e modalità di utilizzo che renderebbero necessaria una conservazione dei metadati superiore a quella suddetta.