E-mail e metadati: nuovi dubbi e perplessità

Il documento di indirizzo

Con il provvedimento del 6 giugno 2024, il Garante ha fornito ai datori di lavoro indicazioni relative alla possibilità e alle modalità di trattamento dei metadati per consentire il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica, senza necessità di attivare la procedura di garanzia prevista dall’art. 4, comma 1, Legge 20 maggio 1970, n. 300. Abbiamo dedicato un intero approfondimento a questo tema in un nostro recente articolo.

Tuttavia, diversi sono i commentatori che hanno avanzato proprie critiche, non solo relativamente alla versione originaria, bensì anche alla nuova versione del documento di indirizzo.

Analizziamone alcune insieme.

La valenza probatoria delle e-mail in giudizio

Tra le molteplici critiche e perplessità destate dal provvedimento, troviamo chi sostiene che i dati registrati automaticamente dai sistemi di posta elettronica siano funzionali ai fini di prova dell’autenticità delle e-mail.

Ricordiamo che, come approfondito in un nostro precedente articolo, il limite temporale fornito dal Garante “a titolo orientativo” di 21 giorni viene applicato a tutte quelle informazioni che presentano la caratteristica di essere registrate automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utilizzatore.

In poche parole, si tratta di parametri tecnici generati dai sistemi server di gestione e smistamento della posta elettronica che consentono di individuare con certezza assoluta la storia di una e-mail. Per tale motivo, si tratta di informazioni che conferiscono maggiore valenza probatoria alle e-mail prodotte dal datore di lavoro in sede di un eventuale contenzioso e, data la frequente necessità del datore di lavoro di produrre in giudizio messaggi di posta elettronica anche parecchio tempo dopo il relativo invio, il termine indicato dal Garante pare comporti delle difficoltà e dei rischi non da poco.

Una soluzione certamente potrebbe essere quella di ampliare il termine indicativo di 21 giorni indicato nel provvedimento, ma sempre e comunque a fronte di considerevoli oneri motivazionali relativi alle esigenze tecniche ed organizzative aziendali che legittimino la scelta di una conservazione prolungata e a fronte di specifici adempimenti a cui dare luogo (in particolare, lo svolgimento di una valutazione d’impatto della protezione dei dati relativa al trattamento in questione e l’esperimento delle garanzie previste dall’art. 4, comma 1, Legge 20 maggio 1970, n. 300).

Il campo di applicazione e il termine orientativo di 21 giorni

Altra perplessità sollevata riguarda l’applicabilità del documento, il quale secondo alcuni possiede valenza applicativa generale. Nello specifico, si ritiene che il provvedimento faccia riferimento ai log (intesi quali informazioni generate automaticamente dei server di gestione e smistamento della posta elettronica) solamente nella parte relativa la fissazione del periodo di conservazione di 21 giorni, ma che l’osservazione prodotta dall’intersezione tra le diverse normative sarebbe applicabile a qualsiasi tipologia di metadato passibile di determinare un controllo a distanza del lavoratore.

Allo stesso modo, è riscontrabile altresì una criticità relativa alla scelta del termine di 21 giorni da parte del Garante, per la quale vi è chi sostiene che necessiti di correlata e specifica motivazione (la quale attualmente manca), così come vi è chi dubita sulla portata “orientativa” del termine stesso, sottolineando quanto tale caratteristica venga meno dal momento in cui il superamento della soglia temporale indicata richiederebbe oneri motivazionali non banali in capo al Titolare del trattamento.

 

Conclusioni

In conclusione, possiamo notare sicuramente la bontà del provvedimento che, tuttavia, si espone ancora a dubbi ed incertezze applicative.

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!