Con un provvedimento di indirizzo del 21 dicembre scorso, pubblicato nella newsletter del 6 febbraio ( https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9978728 ) il Garante della Privacy ha introdotto delle linee guida, rivolte alle aziende, alquanto limitative ed impattanti circa il trattamento e la conservazione delle email dei dipendenti.

I metadati delle email dei dipendenti non possono essere conservati dall’azienda per più di 7 giorni

In particolare, i metadati delle comunicazioni di posta elettronica sono finite sotto la lente di ingrandimento del Garante: si tratta di tutti quei dati inclusi ora, data, mittente e destinatario, oggetto del messaggio, dimensioni della mail, che consistono nelle cosidddette “stringhe descrittive” di una e-mail e che ne rappresentano le caratteristiche proprie, senza rivelarne il contenuto.

Ebbene, il Garante ha stabilito che tali metadati – necessari al fine di catalogare, individuare, reperire le mail – non possano essere conservati per un tempo superiore ai 7 giorni in un cloud esterno, salvo proroga di uleriori 48 ore in caso di eccezionale necessità e per comprovate esigenze.

E’ evidente la pesante ricaduta aziendale di un provvedimento di tale portata, che impone alle aziende di cancellare i riferimenti delle comunicazioni aziendali in tempi strettissimi, con conseguente perdita di uno storico a breve termine estremamente impattante sull’attività ordinaria dell’imprenditore.

Quali sono quindi i rimedi attivabili dall’imprenditore?

L’unica via allo stato per non incorrere in sanzione è attivare la procedura prevista dall’articolo 4 dello Statuto dei lavoratori che prevede, in via alternativa:

  • la stipula di un accordo sindacale con le rappresentanze sindacali unitarie ovvero con le rappresentanze aziendali
  • l’ottenimento di una specifica autorizzazione da parte dell’Ispettorato Territoriale del Lavoro

In via aggiuntiva, l’imprenditore dovrà adeguare il proprio “impianto GDPR” per quanto riguarda quantomeno:

  • le informative ai dipendenti
  • la policy sul tempo di conservazione dei dati
  • la valutazione sulla necessità di una specifica Valutazione d’Impatto (DPIA) in ordine al possibile impatto della extra-durata del trattamento sui diritti fondamentali degli interessati