Privacy email aziendali: le nuove regole per la gestione dei metadati

Si riducono i metadati da cancellare nelle email aziendali per tutelare la privacy dei dipendenti.

Il nuovo provvedimento del Garante della Privacy rivede le linee guida pubblicate lo scorso febbraio e che avevano suscitato allarme tra le imprese.

La definizione aggiornata e più precisa di metadati inquadra i dati registrati automaticamente dai sistemi di posta elettronica.

Sono, dunque, escluse tutte le informazioni contenute nel corpo dell’email e nel cosiddetto “envelope”, cioè l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici.

Privacy email aziendali: le nuove regole per la gestione dei metadati

Si avvia verso la sua conclusione il capitolo della questione legata alla tutela della privacy dei dipendenti nell’ambito della gestione delle email aziendali.

Il provvedimento approvato dal Garante della Privacy il 6 giugno apporta corpose modifiche alle linee guida pubblicate lo scorso febbraio e che hanno scatenato agitazione e panico all’interno delle imprese.

Il nuovo testo, che sostituisce le vecchie regole, sembra giungere ad punto di equilibrio rispetto alle questioni sollevate: si rivede la gestione dei metadati ora intesi come le informazioni che il sistema di posta elettronica registra automaticamente e che quindi non vanno confusi con i dati contenute nel corpo dei messaggi o che formano il cosiddetto “envelope”, cioè l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici.

Ma facciamo un passo indietro. A febbraio, infatti, il Garante ha pubblicato le nuove linee guida per il trattamento dei dati personali dei dipendenti da parte dei datori di lavoro che utilizzano programmi forniti anche in modalità cloud per la gestione della posta elettronica.

Nello specifico, si limitava ad un massimo di 7 giorni (estendibili di 48 ore) la raccolta automatica dei metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti, come ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email, e la conservazione per periodi estesi.

Per periodi di conservazione più lunghi si rendeva necessario l’accordo sindacale o l’autorizzazione dell’Ispettorato del Lavoro.

Novità che hanno generato non poco caos nelle aziende che da subito hanno manifestato difficoltà di applicazione delle nuove regole, tanto che il Garante ha deciso di sospendere l’efficacia delle linee guida e di avviare una consultazione pubblica.

Ebbene, il nuovo provvedimento del 6 giugno sembra arrivare ad una quadra, grazie alle novità che dovrebbero risolvere le preoccupazioni delle aziende.

Privacy email aziendali: le novità nel provvedimento del Garante

La prima novità riguarda la precisa definizione di metadati, che circoscrive le informazioni registrate automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utilizzatore.

Come sottolineato dal Garante, dunque, questi non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica o nell’“envelope”.

“Le informazioni contenute nell’envelope, ancorché corrispondenti a metadati registrati automaticamente nei log dei servizi di posta, sono inscindibili dal messaggio di cui fanno parte integrante e che rimane sotto l’esclusivo controllo dell’utente (sia esso il mittente o il destinatario dei messaggi).”

Pertanto, le indicazioni contenute nelle linee guida e relative ai tempi di conservazione dei metadati, intesi secondo la nuova definizione, non riguardano i contenuti dei messaggi di posta elettronica (né le informazioni tecniche che ne fanno comunque parte integrante) che rimangono nella disponibilità dell’utente/lavoratore, all’interno della casella di posta elettronica.

Intendere i metadati in questo modo, quindi, sembra scongiurare le preoccupazioni sorte nei mesi scorsi nelle aziende.

L’attività di raccolta e conservazione dei metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, sottolinea il Garante, può essere effettuata, di norma, per un periodo limitato a pochi giorni. La conservazione non dovrebbe comunque superare i 21 giorni.

L’eventuale conservazione per un termine ancora più esteso sarà possibile solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, le quali dovranno essere comprovate adeguatamente secondo il principio di accountability.

Garante per la protezione dei dati personali - Provvedimento del 6 giugno 2024

Gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati