dall’Avv. Guido Scorza, componente dell’Autorità Garante per la Protezione dei dati personali

L’intervista rilasciata dall’Avv. Guido Scorza, componente dell’Autorità Garante per la Protezione dei dati personali, porta a comprendere, ancora più nel dettaglio, tre importanti conclusioni.

 

1. Ambito di applicazione

L’ambito di applicazione è circoscritto ai soli log di comunicazione, generati dai sistemi server di gestione e smistamento della posta elettronica, adibiti a garantire il recapito e l’invio del messaggio di posta elettronica. Non si parla di contenuto della comunicazione elettronica né di metadati associati alla busta di posta elettronica stessa. Non si parla di GDPR bensì di Regolamento E-PRIVACY, quindi, di quelle informazioni soggette ad un retention period pari sostanzialmente a zero. “Hai ottenuto il risultato del recapito dell’invio, devi procedere alla cancellazione”: questa è la previsione di partenza del Regolamento.

Si conclude, quindi, che i dati oggetto di applicazione del Documento di Indirizzo (i log di posta elettronica) sono, per alcuni di essi, contenutisticamente uguali, ai dati contenuti nella busta di posta elettronica (i metadati di posta elettronica): mittente, destinatario, oggetto, presenza di allegati, data e ora di invio e di ricezione della mail, il peso della mail stessa (ovviamente, ad accezione del contenuto della posta elettronica).

Ciò che differisce è il luogo di conservazione. I log di posta elettronica, quindi, non sono altro che una copia dei metadati di posta elettronica, che vengono archiviati in un luogo diverso dall’archivio di posta elettronica, che servono esclusivamente all’invio ed alla ricezione. Cancellarli non va ad intaccare la facoltà di indicizzazione per eventuali ricerche che il datore di lavoro ed i lavoratori si possono trovare ad effettuare.

 

2. Data Retention

Durante la consultazione pubblica sono pervenute svariate proposte, che andavano dai 90 giorni sino ai due anni.

Il termine di 21 giorni è stato considerato un intervallo di tempo ragionevole ed è stato elaborato ponendosi un termine superiore ai 7 giorni.  

Il Titolare del trattamento può andare oltre i 21 giorni purché la finalità di trattamento sia il “buon funzionamento del servizio di posta elettronica” e comprovi la “specificità della realtà tecnica e organizzativa”. Oltre detta finalità, sarà necessario raggiungere un accordo con le rappresentanze sindacali di categoria oppure, in subordine, un’autorizzazione dell’Ispettorato del lavoro.  

Da ultimo, si precisa che la data retention del contenuto della posta elettronica rimane assoggettato alle consuete regole.   

 

3. Necessità dell’Accordo Sindacale

I log di posta elettronica vengono utilizzati per assicurare il buon funzionamento delle infrastrutture del sistema della posta elettronica.

Una differente finalità d’uso comporta, per il datore di lavoro, l’interpello delle rappresentanze sindacali di categoria o, in subordine, dell’Ispettorato del lavoro poiché detto strumento non risulta più strettamente finalizzato a rendere la prestazione lavorativa.

Ricadrà, quindi, nell’ambito di applicazione del primo comma, dell’art. 4, dello Statuto dei lavoratori.

 

Leggi anche

E-mail e metadati: nuovi dubbi e perplessità – Mondo Privacy

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!