Di Rocco Panetta

Il 17 giugno è arrivata dal Garante Privacy una notizia che molte aziende, e molti professionisti del settore, stavano aspettando. Si tratta della versione finale del provvedimento sui metadati delle e-mail aziendali, un documento di indirizzo che chiarisce gli obiettivi e gli aspetti sui quali il Garante aveva deciso di esprimersi con il provvedimento del 21 dicembre 2023, che aveva allarmato non poco gli addetti ai lavori in quanto andava a toccare i tempi di conservazione delle e-mail, strumento a dir poco fondamentale in qualsiasi organizzazione, piccola o grande che sia.

L’ultima versione riguarda i metadati o log di posta elettronica. Sebbene tali informazioni possono chiaramente comprendere alcune informazioni sulle e-mail (come le e-mail del mittente e del destinatario, gli indirizzi IP dei server o dei client, gli orari di invio, ritrasmissione o ricezione), è escluso che tra queste informazioni vi rientrino anche le informazioni contenute nel corpo del messaggio e negli allegati, ancorché corrispondenti a metadati registrati automaticamente nei log dei servizi di posta.

Pertanto, chiarisce il Garante, il Provvedimento non riguarda minimamente il tema dell’archiviazione delle e-mail dei dipendenti, ma solo la raccolta e conservazione dei file di log separatamente archiviati dai sistemi per finalità tecniche ed organizzative, con lo scopo di chiarire in che modo tali trattamenti possono essere compatibili con le norme sui diritti dei lavoratori.

 Il secondo aspetto importante è che il Provvedimento “non reca prescrizioni né introduce nuovi adempimenti a carico dei titolari del trattamento”, e ancora “Stante la natura orientativa del documento di indirizzo, dallo stesso non discendono nuovi adempimenti o responsabilità”.

Venendo alla sostanza, il Garante evidenzia come i metadati possono essere considerati “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”, ai sensi dell’art. 4, comma 2, l. n. 300/1970, potendo cioè essere utilizzati senza accordo sindacale o autorizzazione pubblica, solo a condizione che gli stessi siano funzionali a consentire l’esecuzione della prestazione lavorativa. Ciò vale per i metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, i quali per loro natura dovrebbero essere conservati per un periodo di tempo limitato, che secondo il Garante, “non dovrebbe comunque superare i 21 giorni”, fermo restando che il titolare può valutare l’eventuale conservazione per un termine ancora più ampio “in presenza di particolari condizioni che ne rendano necessaria l’estensione”, comprovando adeguatamente le specificità della realtà tecnica e organizzativa del titolare. 

Lo scopo del Garante era dunque non tanto quello di aggiungere un nuovo onere burocratico alle aziende, quanto quello di dare indicazioni sul tema dei metadati, che potrebbero essere usati come strumenti di controllo dell’operato del lavoratore. Il primo provvedimento non aveva colto nel segno e molti avevano sollevato dubbi sulla sua tenuta. Chi scrive, ad onor del vero, lo aveva trovato già abbastanza chiaro nella versione originaria, avendo lavorato in Autorità per tanti anni. La nuova versione, tuttavia, fuga quei dubbi ed introduce utili chiarimenti.

Per fare un’analogia con il diritto penale, se per intercettare le tefonate di un sospetto serve un’autorizzazione del GIP, per ottenere i tabulati telefonici con i metadati (numero chiamante e chiamato, durata della conversazione, etc), fino al 2021 tale autorizzazione non era necessaria, in quanto l’analisi dei metadati si considerava meno invasiva rispetto a quella del contenuto delle conversazioni.

Poiché l’esperienza mostra che i metadati possono dire tanto, è sotto questa lente che tale intervento dell’Autorità va letto. Credo che occorra rendere atto a questa Autorità di avere visione e metodo ed anche di saper tornare sui suoi passi quando un suo provvedimento non ottiene l’auspicato risultato. È ciò che è avvenuto in questo caso ed ora, anche a valle di una consultazione pubblica che ha reso più partecipata la procedura, sono state adottate delle linee guida più utili e chiare per il mercato e gli interpreti.

L’articolo è comparso originariamente sull’edizione cartacea del Sole 24 Ore di domenica 30 giugno 2024.