I datori di lavoro possono conservare i “metadati” delle mail aziendali utilizzate dai propri dipendenti (come giorno, ora, mittente, destinatario, oggetto e dimensione) sino a un massimo di sette giorni, che in caso di «comprovate esigenze» possono diventare nove. È quanto prescrive il Garante della privacy in un intervento risalente al 21 dicembre scorso ma divulgato soltanto l’altro ieri nella newsletter dell’Authority: il datore (termine in cui sono ovviamente inclusi anche i farmacisti titolari) che ha l’esigenza di trattare tali metadati per un lasso di tempo superiore ai nove giorni, dovrà siglare preventivamente un accordo sindacale od ottenere l’autorizzazione dell’ispettorato del lavoro, perché sussiste il rischio di un «indiretto controllo a distanza» dell’attività del lavoratore.
La disposizione, che sta già facendo discutere non poco addetti ai lavori e responsabili Gdpr, rientra nel documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” adottato a fine dicembre dal Garante: il testo, spiega l’Autorità nella newsletter, «nasce a seguito di accertamenti dai quali è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei. In alcuni casi è emerso anche che i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione».
Le aziende, è l’indicazione del Garante, devono quindi «verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione a un massimo di 7 giorni, estensibili in presenza di comprovate esigenze di ulteriori 48 ore». Tale periodo, annota l’Autorità per la privacy, «è considerato congruo, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore».
Nel caso ci sia la necessità di trattare i metadati per un periodo di tempo più esteso (per «esigenze organizzative e produttive», oppure per «tutelare il patrimonio anche informativo del titolare»), andranno avviate le procedure di garanzia previste dallo Statuto dei lavoratori, ossia un accordo sindacale o l’autorizzazione dell’ispettorato del lavoro.