Premessa

Nell’era digitale, le comunicazioni aziendali avvengono spesso attraverso l’e-mail, un mezzo rapido ed efficiente per scambiare informazioni tra colleghi, clienti e partner commerciali. Tuttavia, molte aziende non sono consapevoli del fatto che ogni e-mail inviata e ricevuta porta con sé una serie di metadati che forniscono informazioni cruciali sull’origine, la destinazione e il percorso di quella comunicazione.

Cos’è un Metadato e perché è Importante

I metadati sono dati che descrivono e forniscono informazioni sulle altre informazioni. Nel contesto delle e-mail, i metadati includono informazioni come l’indirizzo IP del mittente e del destinatario, l’oggetto dell’e-mail, l’orario di invio e ricezione, nonché eventuali allegati. Questi metadati sono essenziali per garantire l’integrità e la sicurezza delle comunicazioni aziendali.

La Conservazione dei Metadati e la Normativa sulla Privacy

In molte giurisdizioni, esistono regolamenti che disciplinano la conservazione dei dati aziendali, compresi i metadati delle e-mail. Ad esempio, nel contesto dell’Unione Europea, il Regolamento Generale sulla Protezione dei Dati (GDPR) impone alle aziende di adottare misure adeguate per proteggere i dati personali, compresi i metadati delle comunicazioni.

In particolare, in Italia con il provvedimento n. 642 del 21 dicembre 2023 il Garante per la privacy ha adottato un documento che intende fornire alcune indicazioni a tutti i datori di lavoro (pubblici e privati) nonché ad altri soggetti coinvolti a vario titolo nel contesto lavorativo, onde da un lato promuovere la consapevolezza delle scelte, in primis organizzative, che i datori di lavoro nella loro veste di titolari del trattamento sono chiamati a effettuare per ragioni di accountability; e dall’altro al fine di evitare trattamenti illeciti poiché contrastanti con la disciplina in materia di protezione dati e le norme che tutelano la libertà e la dignità dei lavoratori (ex artt. 113 e 114 dell’attuale Codice Privacy).

La Durata della Conservazione dei Metadati

Un aspetto cruciale della gestione dei metadati delle e-mail aziendali è la durata della conservazione. Mentre è importante conservare questi dati per garantire la tracciabilità delle comunicazioni e la conformità normativa, mantenere i metadati per un periodo eccessivamente lungo può costituire una violazione della privacy e della sicurezza dei dati.

il Garante nel provvedimento sopracitato chiede testualmente “ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base”. L’obiettivo è chiaro: impedire la raccolta sistematica dei metadati, limitando il periodo di conservazione degli stessi “ad un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore”.

Le Best Practice per la Conservazione dei Metadati

Le aziende; secondo il Garante, dovrebbero adottare politiche chiare e trasparenti sulla conservazione dei metadati delle e-mail, stabilendo limiti temporali ragionevoli per la conservazione di tali dati.

Ne consegue che, sempre secondo il Garante, entro al massimo 9 giorni “periodo considerato congruo, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore” i datori di lavoro dovranno eliminare tali dati.

Se per esigenze organizzative, produttive o di tutela del patrimonio anche informativo del titolare per ipotesi, specifiche esigenze di sicurezza dei sistemi, i datori di lavoro avessero necessità di trattare i metadati oltre i 7 + 2 gg, ecco che dovranno fare l’accordo sindacale o avere l’autorizzazione dell’ispettorato del lavoro. In difetto, si configurerebbe un controllo (indiretto) a distanza del lavoratore assolutamente vietato per legge (art. 4 L. 300/70) con conseguenze anche penali.

Conclusioni

In applicazione di principi fondamentali in materia (responsabilizzazione, privacy by design e by default, liceità e minimizzazione del trattamento), nonché dell’art. 4 della L. 300/1970 (St. Lav.), ai datori di lavoro viene quindi richiesto di verificare se tali programmi consentono loro di modificare le impostazioni di base, stabilendo in modo preventivo quali dati raccogliere (riducendoli solo a quelli effettivamente necessari) e limitandone il periodo di conservazione (il Garante stabilisce, come regola generale, un periodo massimo 7 giorni, prolungabili di altre 48 ore in casi particolari).

E se i sistemi informatici non consentono al datore di lavoro di impostare questi requisiti?

Allora, come già detto, l’utilizzo di questi strumenti sarà considerato una forma di controllo a distanza dei lavoratori e troverà applicazione lo Statuto dei Lavoratori. Ciò comporta la necessità di un accordo con le sigle sindacali o, in alternativa, di ottenere l’autorizzazione dell’Ispettorato del lavoro per poter utilizzare lecitamente questi sistemi.