metadati

È notizia di qualche giorno fa che il Garante Privacy è tornato recentemente sul tema della conservazione dei metadati delle e-mail aziendali da parte del datore di lavoro. Il provvedimento del 6 giugno, dal titolo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, estende il periodo di conservazione dei metadati da 7 a 21 giorni. Tale pronuncia, la n. 364 del 6 giugno 2024, avviene a distanza di diverse settimane dalla pubblicazione di una prima versione del documento di indirizzo sulla conservazione dei metadati, che aveva suscitato non poche perplessità e discussioni tra gli addetti ai lavori a tal punto da portare l’Autorità ad avviare una consultazione pubblica.

Cosa sono i metadati

Anzitutto, occorre però fare chiarezza sulla definizione di “metadati”. Con tale termine, infatti, non si devono intendere le informazioni contenute nei messaggi di posta elettronica nella loro “body–part”, bensì le informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi che possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto.

Come sopracitato, con le linee di indirizzo dell’Autorità il periodo di conservazione è stato esteso a 21 giorni, e questa finestra temporale è comunque da considerarsi orientativa.

L’eventuale conservazione per un tempo più ampio, infatti, può essere effettuata solo in presenza di particolari condizioni che rendano necessaria l’estensione e, in ogni caso, le specificità di tale esigenza devono essere adeguatamente comprovate.

Ciò tenendo presente che una raccolta e una conservazione dei metadati generalizzate possono comportare un indiretto controllo a distanza dell’attività dei lavoratori e, in tal caso, dovranno essere esperite le garanzie previste dall’art. 4 dello Statuto dei Lavoratori che prevede la sottoscrizione di un accordo sindacale o, in mancanza, l’ottenimento di una autorizzazione da parte dell’Ispettorato Nazionale o Territoriale del Lavoro.

Quali sono le ricadute sulle imprese e sui datori di lavoro

Nel dettaglio, in applicazione del principio di accountability, spetta a ciascun datore di lavoro adottare tutte le misure tecniche ed organizzative adeguate ad assicurare il rispetto della normativa applicabile. Tutto ciò, tenendo conto che potrebbero dover essere esperite le procedure di garanzia previste dall’art. 4 dello Statuto dei Lavoratori, ossia sottoscrivere un accordo sindacale o ottenere una autorizzazione dell’Ispettorato, nazionale o territoriale, del Lavoro.

È fondamentale considerare che una soluzione univoca e a tutti applicabile non sarebbe conforme. Ciascun datore di lavoro è infatti tenuto ad attuare le valutazioni più adeguate alla propria organizzazione.