Metadati delle email, il Garante apre una consultazione pubblica. Lisi: "Positivo ma occorre chiarire i rapporti tra datori di lavoro e provider di posta" - Studio Legale Lisi

L’Autorità Garante per la protezione dei dati personali, con nota del 6 febbraio 2024, ha varato un documento di indirizzo sulla conservazione dei metadati delle e-mail dei dipendenti rivolto ai datori di lavoro del comparto pubblico e privato. Nella giornata di martedì 27 febbraio è stata poi comunicata l’apertura di una consultazione pubblica su tale provvedimento che ne sospende l’efficacia per 30 giorni.

L’Avv. Andrea Lisi, intervistato dall’Avv. Chiara Ponti sulle pagine di Cybersecurity360, ha voluto analizzare la delicata questione, accolta con favore dagli esperti ma dalle quali non possono non discendere alcune importanti conseguenze.

L’opinione dell’Avv. Andrea Lisi

“L’Autorità Garante effettivamente aveva anticipato la notizia che sarebbe arrivato un doveroso chiarimento, considerato che il documento di indirizzo aveva destato numerose perplessità in ordine alla sua applicabilità” – ha commentato l’Avv. Andrea Lisi – “si anticipi questo necessario chiarimento con una consultazione pubblica [potrebbe] essere considerata una buona notizia perché consentirà confronto e ponderazione nelle indicazioni da dare. Ovvio che molto dipenderà anche da modalità e termini di questa consultazione e ovviamente dalle conclusioni che l’Autorità farà sue”.

“Premesso che i principi generali del GDPR e della L. 300/1970 vanno sempre rispettati, l’attuale articolo 4 dello Statuto dei lavoratori, come modificato nel 2015 dal Jobs Act, prevede nel comma 2 una precisa eccezione rispetto alle garanzie esplicitate nel comma 1 per tutti “gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”.

Le e-mail aziendali, “a maggior ragione se ben regolamentate nel loro utilizzo professionale da policy trasparenti ed esaustive, sono senz’altro strumenti di lavoro. Se per garantire l’efficienza e la sicurezza di uno strumento di lavoro è necessario conservare determinati “metadati”, tale documentata esigenza consente di confermare l’applicazione del II comma. Del resto, non si leggono nella lettera della normativa ipotesi diverse che consentano di “far rientrare dalla finestra” ciò che invece è espressamente eccezione a un principio generale”.

“La corrispondenza (cartacea e digitale) va ordinatamente conservata secondo l’art. 2220 del Cod. Civile (e per le PA secondo quanto previsto dal Codice dei beni culturali). Per poterlo fare i metadati sono indispensabili, come precisato anche dalle regole tecniche sulla gestione e conservazione dei documenti informatici di AgID” ha proseguito. “I rapporti tra organizzazione datore di lavoro e grandi provider di posta non sempre sono facilmente e schematicamente sussumibili in ciò che in astratto il GDPR prevede.”
“L’accountability – sacro principio del GDPR – serve a livellare rapporti contrattuali non ben bilanciati in una sinallagmaticità perfetta: designare responsabile Google è burocrazia formale, non di certo diritto sostanziale”. E’ fondamentale sforzarsi per “cercare di verificare bene come garantire i diritti dei lavoratori in rapporti contrattuali sbilanciati, senza però immaginare e chiedere ciò che possibile non è”, posto che “… teoricamente un datore di lavoro è in grado di acquisire dall’analisi di metadati, indirettamente messi a sua disposizione, dei dati personali di un lavoratore, non significa che possa farlo, se la finalità di trattamento fosse tutt’altra!”

L’intervista è apparsa originariamente su Cybersecurity360

LEGGI L'ARTICOLO

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

Metadati delle email, il Garante apre una consultazione pubblica. Lisi: “Positivo ma occorre chiarire i rapporti tra datori di lavoro e provider di posta”

Metadati delle email, il Garante apre una consultazione pubblica. Lisi: “Positivo ma occorre chiarire i rapporti tra datori di lavoro e provider di posta”

L’opinione dell’Avv. Andrea Lisi

I servizi elettronici di recapito certificato qualificati da AgID in Italia

WebTV MRTV ‖ Lo ho-BIT – una digicrazia inaspettata

Di

Newsletter

Lecce

Milano

Roma

Biella

Castellammare di Stabia

NAVIGA