Il Garante Privacy ha rinviato l’entrata in vigore delle linee guida emanate il 21 dicembre scorso e, contestualmente, ha avviato un percorso di consultazione pubblica finalizzato ad acquisire pareri di esperti e operatori.
Una scelta di grande responsabilità da parte dell’Autorità, che potrebbe preludere a un cambiamento di rotta su un tema che, in queste settimane, ha creato molto allarme nelle aziende.
Questo allarme era stato generato dal provvedimento, reso pubblico lo scorso 6 febbraio, con cui il Garante ha fornito un’indicazione destinata ad avere un effetto dirompente su tutti i sistemi di posta elettronica aziendale: limitare a 7 giorni (estensibili al massimo per altre 48 ore) il periodo massimo di conservazione dei metadati delle e-mail dei dipendenti (giorno, ora, mittente, destinatario, oggetto, dimensione dell’e-mail), fatti salvi i casi regolati da accordo aziendale o autorizzati dall’Ispettorato del lavoro.
Una regola che avrebbe potuto cancellare la memoria storica di tutte le aziende, in quanto senza i metadati (mittente e destinatario, data di invio e ricezione del messaggio, oggetto, dimensione del messaggio e degli allegati) è sostanzialmente impossibile indicizzare e, quindi, trovare i messaggi di posta elettronica.
Il Garante, preso atto dell’effetto dirompente di questa indicazione, con il comunicato di ieri ha annunciato due importanti misure:
- La prima consiste nell’avvio di una consultazione pubblica sulla congruità del termine di conservazione dei metadati degli account dei servizi di posta elettronica dei lavoratori. Potranno dare un contributo alla consultazione tutti i datori di lavoro – pubblici e privati – ma anche gli esperti della disciplina di protezione dei dati e tutti gli altri soggetti interessati. Il modo per partecipare sarà molto semplice: basterà mandare al Garante le proprie osservazioni, i commenti, le informazioni, le proposte e tutti gli elementi ritenuti utili per una migliore regolazione della materia, entro 30 giorni a partire dalla pubblicazione in Gazzetta ufficiale del provvedimento. Il messaggio potrà essere recapitato tramite posta ordinaria o con una e-mail destinata alle caselle protocollo@gpdp.it oppure protocollo@pec.gpdp.it. Lo scopo della consultazione, secondo il comunicato dell’Autorità, è quello di «rispondere alle numerose richieste di chiarimenti ricevute», fornendo spunto sulle forme e modalità di utilizzo che renderebbero necessaria una conservazione dei metadati superiore a quella ipotizzata nel documento di indirizzo.
- La seconda misura del Garante è altrettanto importante: viene deciso di «differire l’efficacia del documento di indirizzo» del 21 dicembre scorso fino a quando, successivamente al termine della consultazione pubblica, non saranno adottate nuove misure (o, in caso di mancata adozione di nuovi atti, fino ai 60 giorni successivi alla fine della consultazione).
Questo vuol dire che, fino a quando non sarà completato il percorso di raccolta delle opinioni, e per un periodo massimo di 90 giorni, i datori di lavoro e gli operatori che gestiscono i cloud dove sono collocate le e-mail aziendali non dovranno apportare modifiche alle politiche di conservazione.
Servirà, in particolare, una maggiore considerazione della nozione di «strumenti di lavoro», introdotta (dal 2015) nell’articolo 4 dello Statuto dei lavoratori. Oggi pochissimi lavoratori possono eseguire la proposta prestazione senza usare le e-mail: persino chi svolge compiti operativi e lavori manuali non può completare il proprio lavoro, anche solo per comunicare con clienti e colleghi. Basterebbe prendere atto di questo collegamento inscindibile per superare il problema dell’articolo 4, tenendo ovviamente ferme tutte le garanzie che devono essere riconosciuti in tema di trattamento dei dati personali.