Finalmente il Garante ha pubblicato il Documento di Indirizzo sui metadati della posta elettronica aziendale che, per sua stessa ammissione, recepisce i suggerimenti ricevuti dagli utenti sulla precedente bozza adottata a fine 2023 (provv. n. 642 del 21 dicembre 2023) che aveva sollevato non un polverone, ma un vero e proprio tornado di commenti negativi giacché, per opinione diffusa, il testo imponeva al titolare di cancellare dopo solo sette giorni tutti i “metadati” di posta elettronica, ovvero «giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail», ecc.
Ebbene, il Garante ha chiarito che i metadati oggetto del provvedimento non sono quelli conservati nel client del titolare, ma quelli utilizzati in fase di instradamento dei messaggi, e ha così distinto:
- i metadati che «corrispondono tecnicamente alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica»; e
- i metadati contenuti nel “body-part”(corpo del messaggio e le informazioni tecniche che ne fanno comunque parte integrante) che rimangono sotto l’esclusivo controllo dell’utente.
Solo i primi metadati sono soggetti al termine breve di conservazione che, comunque, è passato da sette a ventuno giorni[1].
Il Documento di indirizzo, nella sua precedente versione, peccava senz’altro di poca chiarezza, ma certamente non poteva essere letto come obbligo del titolare del trattamento di cancellazione dei metadati nel “message body”!
Spetta ora al titolare (datore di lavoro) verificare, anche con l’intervento del proprio DPO, che il fornitore del servizio di posta provveda a ridurre il periodo di conservazione dei dati dei log di sistema di posta elettronica e, in caso di estensione del termine, verificare l’opportunità di ricorrere alle garanzie dell’art. 4 dello Statuto dei Lavoratori (art. 114 Codice Privacy).
[1] Si tratta di una distinzione già colta nel nostro commento alla prima bozza del Documento di indirizzo (dove suggerivamo una separazione tra “Metadati Utente” e “Metadati Tecnici”) e poi proposta con sintetiche osservazioni al Garante in risposta alla consultazione pubblica.