I metadati relativi alla posta elettronica possono nascondere un’insidia per il datore di lavoro. Per questo, il Garante Privacy, che già si è occupato della questione in passato, ha rilasciato un documento di indirizzo, contenente indicazioni operative.

Cosa sono i metadati e perché sono rilevanti

Anzitutto, bisogna fornire qualche chiarimento. I metadati sono le informazioni “esterne” riferite alle e-mail. Non si tratta del contenuto, quindi, ma tutto quello che troveremmo su una busta cartacea: mittente, destinatario, tempo di invio e di ricevimento. Il programma di posta elettronica, nel processare i messaggi, archivia progressivamente queste informazioni. Che, spesso, sono quindi conservate per tempi piuttosto lunghi.

E qui c’è il problema, perché, per effetto di questo stoccaggio, il datore di lavoro si trova a disporre di un pacchetto informativo che gli consentirebbe di controllare a distanza i dipendenti. Sapere, cioè, quante e-mail ha ricevuto o ha mandato un lavoratore, o con chi ha frequenti contatti, significa disporre, da remoto, di notizie sulla sua attività lavorativa. Una situazione rischiosa non solo dal lato privacy (c’è un trattamento di dati personali in atto), ma anche per quanto riguarda il rispetto dello Statuto dei Lavoratori, che vieta il controllo a distanza.

La soluzione del Garante

Quale soluzione? Il Garante, nel suo documento, fissa un tetto alla durata della conservazione dei metadati. Disporre di queste informazioni, infatti, può servire per effettuare verifiche sul regolare funzionamento del sistema. In tale ottica, la conservazione si giustifica con un interesse legittimo del datore di lavoro. Per effettuare questi controlli, ammonisce il Garante, sono sufficienti sette giorni, prorogabili, per esigenze comprovate, al massimo di ulteriori 48 ore.

Oltre tale termine, la conservazione non si può giustificare con le anzidette esigenze di verifica. Poiché ci si trova in una situazione in cui il datore, di fatto, può controllare da remoto i dipendenti, è necessario ricorrere alle procedure di garanzia. Come previsto dall’art. 5 Statuto dei Lavoratori, quindi, serve un accordo sindacale oppure l’autorizzazione dell’Ispettorato del Lavoro. In attesa di uno dei due semafori verdi, la conservazione non è possibile.

In termini estremamente pratici, le aziende dovranno verificare attentamente il funzionamento del sistema di posta elettronica in uso, focalizzando l’attenzione sull’archiviazione dei metadati. Il servizio scelto, in particolare, dovrà garantire la conservazione limitata nel tempo. Non da ultimo, i dipendenti dovranno ricevere adeguata informativa circa modalità, finalità e durata del trattamento.