La questione dei metadati di posta elettronica continua ad impensierire le aziende, visto che, al giorno d’oggi, praticamente non esiste realtà produttiva ove non si utilizzino le e-mail. Nei mesi scorsi, il Garante Privacy, prendendo spunto da alcuni suoi provvedimenti, si era espresso sull’argomento. In particolare, l’Autorità ha messo in guardia rispetto ad una serie di potenziali violazioni alle norme in materia di protezione dati personali. Più recentemente, con un documento di indirizzo, ha fatto una specie di “riassunto” della materia, dando qualche indicazione utile agli operatori.
Cosa sono i metadati e perché sono rilevanti
Andiamo con ordine. Anzitutto, occorre definire la categoria dei “metadati”. Si tratta, spiega il Garante, delle informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi. I sistemi di posta elettronica le registrano automaticamente, indipendentemente dalla percezione dell’utilizzatore. Esse sono, ad esempio, gli indirizzi e-mail del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio. Sono metadati anche gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati.
Queste informazioni, apparentemente, potrebbero sembrare tutto sommato di poco conto, perché non comprendono il contenuto del messaggio. In realtà, si tratta di riflettere sul fatto che è un dipendente ad inviare e ricevere i messaggi di posta elettronica. Disporre di questi dati, quindi, significa non solo aver accesso a informazioni inerenti ad una persona (il dipendente, appunto), ma avere altresì degli strumenti per controllare la sua attività lavorativa. Da tale riflessione, si capisce che la gestione dei metadati non coinvolge solamente le norme in materia di protezione dati personali, ma anche quelle di diritto del lavoro, che impongono il divieto di controllo a distanza del dipendente.
Le indicazioni pratiche del Garante alle aziende
Il Garante, quindi, ha cercato di fornire alcune indicazioni utili per evitare guai. La raccomandazione principale è quella legata alla conservazione dei metadati. Più è breve il periodo in cui essi sono disponibili (e quindi consultabili), minore è il rischio che da essi si possano ricavare informazioni utili a controllare i dipendenti. Del resto, lato privacy, appare difficile giustificare una conservazione che vada oltre il tempo tecnico per controllare il regolare funzionamento del sistema di posta elettronica. Il tempo indicato dal Garante è quello di 21 giorni. Oltre alle tre settimane, la conservazione necessita di una specifica giustificazione.
Un’ulteriore raccomandazione è quella relativa alle informazioni da fornire ai dipendenti. Il datore di lavoro, infatti, deve comportarsi in modo trasparente e chiarire quali siano le informazioni acquisite dal sistema di posta elettronica, per quanto tempo siano conservate e quale sia la finalità prevista per il loro utilizzo. Anche perché, come prevede lo Statuto dei Lavoratori, le informazioni eventualmente acquisite dal datore in violazione della normativa privacy, non sono utilizzabili nei confronti del dipendente.
In estrema sintesi, le aziende sono chiamate a compiere un’attenta valutazione sulle scelte in materia di posta elettronica. Va condotta, quindi, una attenta verifica (nel rispetto della privacy by design e privacy by default) sul client scelto e sul suo funzionamento. Lo scopo è quello di assicurare che sia rispettoso della normativa. Vanno ridotti i tempi di conservazione e va assicurato che i dati conservati siano esclusivamente quelli utili al controllo circa la regolarità del funzionamento del sistema. Soprattutto, non ci si potrà difendere dicendo di non aver ricevuto le raccomandazioni opportune.

Avv. Andrea MARTINIS
diritto civile (responsabilità civile, assicurazioni, recupero crediti), privacy, diritto penale