Si alleggeriscono ma non scompaiono del tutto le incombenze che, in tema di privacy, devono rispettare i datori di lavoro riguardo ai dati contenuti nelle mail aziendali dei dipendenti. Lo snellimento discende dal provvedimento approvato il 6 giugno scorso dal Garante per la privacy, che rivede le linee guida pubblicate nel giugno scorso e accolte dalla gran parte delle imprese con forte preoccupazione.

Il nuovo testo, in effetti, riduce i “metadati” delle e-mail aziendali (ossia le informazioni registrate automaticamente dal sistema di posta elettronica) che il datore di lavoro deve da cancellare per tutelare la privacy dei dipendenti. Il provvedimento di febbraio, in particolare, limitava a un massimo di 7 giorni (allungabili di altre 48 ore) la conservazione di dati dei messaggi come giorno, ora, mittente, destinatario, oggetto e dimensione dell’email, a meno di accordi aziendali specifici oppure di autorizzazioni dell’Ispettorato del Lavoro.

Le nuove disposizioni, invece, propongono per cominciare una definizione più precisa di “metadato”, che ora non include più le informazioni contenute nei messaggi di posta elettronica o nell’envelope, che – scrive il Garante – «ancorché corrispondenti a metadati registrati automaticamente nei log dei servizi di posta, sono inscindibili dal messaggio di cui fanno parte integrante e rimangono sotto l’esclusivo controllo dell’utente (sia esso il mittente o il destinatario dei messaggi)».

Pertanto, le indicazioni delle linee guida in tema di privacy e i limiti di conservazione non riguardano né i contenuti dei messaggi di posta elettronica né le informazioni tecniche, che rimangono nella disponibilità dell’utente/lavoratore all’interno della casella di posta elettronica.

L’attività di raccolta e conservazione dei metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, sottolineano inoltre le nuove linee guida, può essere effettuata di norma per un periodo limitato a pochi giorni e non dovrebbe comunque superare i 21 giorni. L’eventuale conservazione per un termine ancora più esteso sarà possibile solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, le quali dovranno essere comprovate adeguatamente secondo il principio dell’accountability.

Tra gli esperti che epr primi hanno commentato il provvedimento, sono in molti a osservare che le nuove disposizioni vengono incontro alle perplessità sollevate n4ei mesi passati dalle aziende e da diverse associazioni di categoria, ma presentano ancora numerose criticità. In particolare, rispettare gli obblighi e disabilitare la raccolta automatica dei metadati comporterà competenze tecniche specifiche e investimenti significativi, soprattutto per le piccole e medie imprese. Inoltre, le misure di sicurezza richieste, come l’uso di tecniche di cifratura e l’autenticazione forte, potrebbero rallentare i processi aziendali e influire sulla produttività dei dipendenti.