Le linee di indirizzo del Garante sul tempo di conservazione dei metadati di posta elettronica

Le recenti linee di indirizzo del Garante, pubblicate nella newsletter del 6 Febbraio 2024, introducono l’obbligo di conservare i metadati relativi alla posta elettronica per 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore. I Titolari del trattamento , che per esigenze organizzative e produttive o di tutela del patrimonio avessero necessità di trattare i metadati per un periodo di tempo più esteso, hanno l’obbligo di sottoscrivere un accordo con le rappresentanze sindacali o di ottenere l’autorizzazione dell’ispettorato del lavoro come requisito legittimante della conservazione a lungo termine.

Le linee guida però sembrano trascurare che i metadati non sono necessari solo per la cybersecurity, ma sono essenziali per facilitare la ricerca, l’indicizzazione delle comunicazioni e la ricostruzione di processi per esigenze organizzative. La loro eliminazione entro un periodo di tempo così breve comporta la perdita di ogni traccia delle operazioni effettuate dal personale, con conseguenze legali e d’impatto aziendale potenzialmente gravi e imprevedibili.

La proposta del Garante di sottoscrivere un accordo o di ottenere l’autorizzazione, come previsto dall’art. 4 dello Statuto dei Lavoratori, rappresenta una soluzione complicata e una strada in salita per i Titolari del trattamento e un disallineamento con la normativa europea, che impone l’obbligatorietà di informare i lavoratori sulle modalità di controllo, il rispetto della privacy, ma non prevede l’accordo sindacale o l’autorizzazione preventiva.

Confidando in una pronta azione correttiva delle linee guida di indirizzo, oppure la comunicazione di efficaci precisazioni da parte del Garante, vi chiediamo di svolgere le seguenti azioni preliminari :

1. verificare con il vs fornitore di servizi e-mail l’attuale tempo di conservazione dei metadati (e.g. giorno, ora, mittente, destinatario, oggetto, dimensione ecc.);
2. Qualora la conservazione fosse superiore ai predetti termini
   1. verificare la possibilità impostare il tempo di conservazione richiesto dal Garante,
   2. chiedere al vs fornitore di servizi di descrivervi le ripercussioni sull’utilizzo efficace delle mail
   3. considerare la possibilità di siglare un accordo con le rappresentanze sindacali o richiedere l’autorizzazione all’ispettorato del lavoro;
3. Lato privacy, qualora le linee di indirizzo non venissero cambiate radicalmente, sarà necessario svolgere la valutazione di impatto (DPIA) comprensiva di un test di bilanciamento degli interessi, aggiornare l’informativa del personale indicando esplicitamente il termine di conservazione dei metadati, aggiornare le istruzioni sull’utilizzo degli strumenti informatici, aggiornamento del registro dei trattamenti e la relativa analisi dei rischi.

Il suo consulente di riferimento è a Sua disposizione per iniziare a raccogliere le informazioni di cui al punto 1) e 2), per fornirle ulteriori dettagli o chiarimenti in materia.

Speriamo a breve di potervi fornire ulteriori dettagli e concludiamo questa mail con una nostra considerazione “Forse, al posto di imporre la sottoscrizione di  un accordo con le rappresentanze sindacali, oppure l’autorizzazione dell’ispettorato del lavoro, sarebbe stato sufficiente prevedere la semplice comunicazione ai sindacati o alle rappresentanze territoriali come previsto per il decreto whistleblowing”.