L’Autorità Garante per la protezione dei dati personali, con nota del 6 febbraio 2024, ha varato un documento di indirizzo sulla conservazione dei metadati delle e-mail dei dipendenti rivolto ai datori di lavoro del comparto pubblico e privato. Nella giornata di martedì 27 febbraio è stata poi comunicata l’apertura di una consultazione pubblica su tale provvedimento che ne sospende l’efficacia per 30 giorni.
L’Avv. Andrea Lisi, intervistato dall’Avv. Chiara Ponti sulle pagine di Cybersecurity360, ha voluto analizzare la delicata questione, accolta con favore dagli esperti ma dalle quali non possono non discendere alcune importanti conseguenze.
L’opinione dell’Avv. Andrea Lisi
“L’Autorità Garante effettivamente aveva anticipato la notizia che sarebbe arrivato un doveroso chiarimento, considerato che il documento di indirizzo aveva destato numerose perplessità in ordine alla sua applicabilità” – ha commentato l’Avv. Andrea Lisi – “si anticipi questo necessario chiarimento con una consultazione pubblica [potrebbe] essere considerata una buona notizia perché consentirà confronto e ponderazione nelle indicazioni da dare. Ovvio che molto dipenderà anche da modalità e termini di questa consultazione e ovviamente dalle conclusioni che l’Autorità farà sue”.
“Premesso che i principi generali del GDPR e della L. 300/1970 vanno sempre rispettati, l’attuale articolo 4 dello Statuto dei lavoratori, come modificato nel 2015 dal Jobs Act, prevede nel comma 2 una precisa eccezione rispetto alle garanzie esplicitate nel comma 1 per tutti “gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”.
Le e-mail aziendali, “a maggior ragione se ben regolamentate nel loro utilizzo professionale da policy trasparenti ed esaustive, sono senz’altro strumenti di lavoro. Se per garantire l’efficienza e la sicurezza di uno strumento di lavoro è necessario conservare determinati “metadati”, tale documentata esigenza consente di confermare l’applicazione del II comma. Del resto, non si leggono nella lettera della normativa ipotesi diverse che consentano di “far rientrare dalla finestra” ciò che invece è espressamente eccezione a un principio generale”.
“La corrispondenza (cartacea e digitale) va ordinatamente conservata secondo l’art. 2220 del Cod. Civile (e per le PA secondo quanto previsto dal Codice dei beni culturali). Per poterlo fare i metadati sono indispensabili, come precisato anche dalle regole tecniche sulla gestione e conservazione dei documenti informatici di AgID” ha proseguito. “I rapporti tra organizzazione datore di lavoro e grandi provider di posta non sempre sono facilmente e schematicamente sussumibili in ciò che in astratto il GDPR prevede.”
“L’accountability – sacro principio del GDPR – serve a livellare rapporti contrattuali non ben bilanciati in una sinallagmaticità perfetta: designare responsabile Google è burocrazia formale, non di certo diritto sostanziale”. E’ fondamentale sforzarsi per “cercare di verificare bene come garantire i diritti dei lavoratori in rapporti contrattuali sbilanciati, senza però immaginare e chiedere ciò che possibile non è”, posto che “… teoricamente un datore di lavoro è in grado di acquisire dall’analisi di metadati, indirettamente messi a sua disposizione, dei dati personali di un lavoratore, non significa che possa farlo, se la finalità di trattamento fosse tutt’altra!”
L’intervista è apparsa originariamente su Cybersecurity360