Un recente provvedimento del Garante per la protezione dei dati personali rilancia la questione della gestione aziendale delle risorse informatiche. Si tratta di un punto che molto spesso le aziende (ma anche le amministrazioni pubbliche) trattano in modo superficiale. L’impiego di strumenti informatici pone numerosi problemi che coinvolgono tanto la normativa privacy quanto quella strettamente lavoristica. L’attenzione, in particolare, si concentra sulla circostanza che questi strumenti possono consentire al datore di lavoro di controllare i propri dipendenti. Ed è appena il caso di rammentare che il controllo a distanza dei lavoratori è una pratica vietata.

I problemi legati alla conservazione dei metadati

Tornando al provvedimento, che ha coinvolto la Regione Lazio, uno dei punti critici analizzati è rappresentato dall’acquisizione e dalla successiva conservazione dei metadati generati dall’utilizzo della posta elettronica. Si tratta di quelli che comunemente chiamiamo “dati esteriori”, contenuti nella “envelope” del messaggio. Non serve essere giuristi per capire che il contenuto della corrispondenza rappresenta un’informazione di carattere riservato. Rappresenta peraltro un principio consolidato che anche la corrispondenza scambiata nel contesto lavorativo gode della tutela assicurata alla sfera privata. Si potrebbe pensare, per contro, che i metadati, non coinvolgendo il contenuto del messaggio, possano essere gestiti con maggior disinvoltura.

Il Garante chiarisce che non è così. Dai dati esteriori, dice l’Autorità, è possibile ricavare informazioni inerenti alla sfera personale del diretto interessato, soprattutto nel caso in cui la conservazione di questi dati sia protratta nel tempo. Sapere quante volte una persona ha scambiato e-mail con un’altra, ad esempio, può dire qualcosa sul tipo di rapporto che esiste tra i due. Se poi il destinatario dei messaggi ricopre una carica sindacale, oppure è un medico o una struttura sanitaria, si ricavano informazioni anche delicate. Quando la mole di metadati è consistente, infatti, si dispone di un pacchetto informativo in grado di dirci qualcosa sulla vita di chi riceve o invia e-mail.

Conservare per un periodo eccessivo mette nei guai il datore di lavoro

Le implicazioni che derivano da questa indicazione investono anzitutto la normativa lavoristica, che vieta al datore di lavoro di condurre indagini sulle opinioni dei dipendenti. Ma ci sono anche dei riflessi privacy, posto che una raccolta e una conservazione sistematica di metadati comporta la violazione dei principi sanciti dal Regolamento Europeo. Questo impone di vincolare ogni trattamento di dati personali ad una finalità specifica. Non solo: il trattamento deve essere giustificato da una base giuridica idonea. Acquisire e “stoccare” i metadati può sicuramente servire per assicurare il corretto funzionamento e il regolare utilizzo del servizio di posta elettronica. Ma tale finalità, secondo il Garante, non giustifica una conservazione superiore a sette giorni. I metadati, quindi, vanno cancellati quando la finalità per la quale sono raccolti si è esaurita. Conservarli, è quasi superfluo aggiungerlo, può costare una sanzione anche salata.