Metadati delle email dei dipendenti: ANORC partecipa alla consultazione pubblica del Garante – Leggi il documento

Ancora una volta ANORC si fa portavoce dei suoi Associati dinanzi alle Autorità: in seguito all’apertura della consultazione pubblica da parte del Garante per la protezione dei dati personali sul documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, l’Associazione ha deciso di partecipare alla consultazione inoltrando all’Autorità un documento stilato a seguito del confronto con alcuni esponenti interni che hanno sottoscritto il contributo.

Il provvedimento

Il 21 dicembre 2023 il Garante aveva pubblicato un documento di indirizzo, rivolto ai datori di lavoro del comparto pubblico e privato, in cui veniva indicato il termine di 9 giorni (7 + 2 eventuali) come estensione massima del periodo di conservazione dei metadati delle email dei dipendenti.
In seguito alle numerose richieste di chiarimenti pervenute, il Garante aveva quindi deciso di sospendere l’efficacia del provvedimento e di promuovere una consultazione pubblica di 30 giorni – il cui avvio è stato ufficializzato in GU il 16 marzo – sulla congruità del termine di conservazione.

La posizione di ANORC

Come si evince dal contributo, secondo ANORC il Provvedimento di codesta Autorità – pienamente condivisibile nelle finalità di sensibilizzare e fornire indicazioni su aspetti di natura tecnologica che non sempre sono debitamente trattati con la necessaria attenzione – non risulta centrare, tuttavia, gli obiettivi di chiarezza e consapevolezza, laddove non circoscrive adeguatamente l’ambito di applicazione, formulando con maggiore precisione alcuni concetti espressi nel Provvedimento stesso. Nello specifico, in effetti, alcuni paragrafi del testo in commento, ove non opportunamente chiariti, potrebbero risultare in contrasto con altre norme primarie dell’ordinamento che prescrivono precise tempistiche di conservazione e qualora non si intervenisse per precisarne il contenuto e per modificarne l’impostazione, potrebbero creare una discriminazione verso i titolari di trattamento sulla base delle tecnologie da questi utilizzate e nei confronti delle quali, nella quasi totalità dei casi, essi non hanno alcun potere decisionale.”

L’Associazione ha articolato la propria posizione su: concetto di metadato, configurazione dei rapporti con i grandi cloud provider di posta, antinomia con il principio di accountability, perimetro di applicazione del Provvedimento stesso e conservazione dei metadati della posta elettronica, elementi necessari per valutare la correttezza dei termini indicati nel provvedimento.
Giunti ora alla chiusura della consultazione, l’augurio è che il contributo associativo possa aiutare a stimolare una riflessione critica puntando a migliorare quanto inizialmente stabilito dal documento, nel rispetto delle norme primarie del nostro ordinamento.

Per il testo integrale: