Se in azienda conservate le e-mail dei dipendenti, con i relativi metadati, potreste non essere in regola con le norme approvate dal Garante privacy lo scorso 6 giugno.
Metadati e come comportarsi
Già, ma che cosa sono i metadati? Lo spiegano le nuove linee guida del Garante: sono da considerare come metadati le «informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (mail transport agent) e dalle postazioni client (mail user agent)».
In sostanza, sono quelle informazioni che servono ai software per l’utilizzo delle mail per recapitare e registrare i messaggi in entrata e uscita.
Per esempio, non solo consentono la consultazione della corrispondenza in entrata quando si accede alle caselle di posta elettronica, ma comprendono gli indirizzi e-mail di mittente e destinatario, la fonte Ip dei server o client coinvolti, gli orari di invio, ritrasmissione o ricezione, le dimensioni del messaggio, la presenza di eventuali allegati e, a volte, l’oggetto del messaggio.
Sono informazioni tecniche, inserite in modo automatico nei registri di accesso (i cosiddetti log) e che di solito sono ignorati dall’utente. Ma che, per esempio, possono essere utilizzati dai datori di lavoro per controllare chi scrive o chi riceve la posta elettronica.
La loro conservazione, sostiene ora l’Authority per la privacy, non può superare i 21 giorni.
Conservare mail o dati
E se, per qualche ragione, l’azienda ritiene necessario avere a disposizione questi dati per più tempo, per esempio per motivi di sicurezza, è necessario l’adempimento degli obblighi previsti dalla normativa privacy, che non sono pochi.
Oltre alla scontata informativa all’utente riguardo le norme, ci sono data protection impact assessment-Dpia e legitimate interest assessment-Lia, la necessità di un accordo sindacale con i dipendenti, oppure l’ottenimento di un’autorizzazione amministrativa, secondo quanto previsto dall’articolo 4 dello Statuto dei lavoratori. Ma solo in presenza di «particolari condizioni».
Insomma, per i dati è più facile prevedere un meccanismo di cancellazione automatica dei dati (che, beninteso, non riguarda il testo delle e-mail e neppure informazione come data e mittente, considerate inscindibili dal messaggio) dopo tre settimane, piuttosto che imbarcarsi nel bypassare i limiti previsti.
Il bello è che lo stesso Garante sottolinea che i software che le aziende usano per gestire le e-mail spesso hanno impostazioni predefinite che potrebbero non essere in linea con la normativa italiana.
Nella vita lavorativa di tutti i giorni, in ogni caso, è difficile incappare nei paletti del provvedimento. A meno, però, che un dipendente per qualche ragione sollevi il caso.
di Alessandro Bonvicino
