Questo articolo è stato pubblicato da questo sito
Come archiviare le email per essere in pace con il Garante della privacy? Semplice, basta stamparle e poi cancellarle dal server. Questo consiglio, abbastanza paradossale, rischia di diventare realtà se non saranno apportati dei correttivi alle linee guida approvate il 21 dicembre (ma diventate pubbliche solo lo scorso 6 febbraio) dal Garante della privacy per la gestione dei “metadati” della posta elettronica.
Questo provvedimento, infatti, ha fissato dei vincoli molto restrittivi per la gestione della posta elettronica dei lavoratori, nel caso in cui sia conservata in modalità cloud. Secondo il Garante, i datori di lavoro non possono conservare i metadati delle email dei dipendenti oltre un periodo di tempo estremamente breve, 7 giorni (estensibili, in presenza di comprovate e documentate esigenze, di ulteriori 48 ore). Una misura che rischia di creare problemi gestionali molto rilevanti, perché senza metadati è praticamente impossibile indicizzare e ritrovare una mail: infatti, i metadati ci dicono data, ora, mittente, destinatario, oggetto e dimensione della posta, insomma tutte le informazioni utili per rintracciare un’email.
Se queste informazioni fossero cancellate dopo una settimana, tutte le email sarebbe prive di qualsiasi elemento di riconoscimento: come potrebbe un’azienda gestire un contenzioso, ricostruire un progetto o semplicemente portare avanti l’attività quotidiana se la sua memoria non fosse più lunga di una settimana? Il Garante offre, in realtà, una strada per evitare di cancellare i metadati, ma è una soluzione più apparente che reale: per allungare il periodo di conservazione dei metadati, suggerisce di utilizzare il meccanismo previsto dall’art. 4 dello Statuto dei lavoratori.
Questa norma consente di utilizzare sistemi che generano un controllo indiretto tramite un accordo sindacale o, in mancanza, una procedura di autorizzazione presso l’Ispettorato del lavoro. La soluzione è solo apparente perché il sindacato difficilmente accetterà di firmare intese su una materia così sofisticata e complessa dal punto di vista tecnico, mentre l’Ispettorato potrebbe sollevare delle riserve sull’allungamento eccessivo del periodo di conservazione delle email. Le aziende – praticamente tutte – si trovano quindi in una situazione paradossale: chi usa dei cloud dove sono presenti metadati più “vecchi” di una settimana è, già da oggi, responsabile di un trattamento illecito di dati personali.
Per uscire da questo caos una strada, molto semplice, ci sarebbe: applicare la legge. Nel 2015 il Jobs Act ha modificato l’art. 4 dello Statuto dei lavoratori, stabilendo che la procedura sul controllo a distanza non si applica nel caso degli “strumenti di lavoro”. Come si fa a negare, in una società digitale, che le email (compresi i metadati) siano strumenti di lavoro? Se il Garante avesse interpretato questa norma rispettandone lo spirito, avrebbe evitato di aprire questa voragine. Ma visto che questo non è accaduto, servirebbe almeno una norma interpretativa che affermare con maggiore chiarezza il concetto: le email sono strumenti di lavoro, non forme di controllo a distanza.
