Metadati nelle e-mail di lavoro: I chiarimenti del Garante della Privacy
Il provvedimento del 6 giugno 2024 n. 364 (all.1) dell’Autorità Garante per la protezione dei dati personali rappresenta un’importante revisione delle linee guida relative alla gestione dei metadati delle e-mail nel contesto lavorativo. Questo documento di indirizzo aggiorna e dettaglia le misure da adottare per il trattamento dei metadati, garantendo al contempo il rispetto dei diritti e delle libertà dei lavoratori.
Cosa sono i metadati?
I metadati sono dati che descrivono altri dati, fornendo informazioni aggiuntive che aiutano a contestualizzare, organizzare e gestire i dati stessi. Dovremmo immaginare i metadati come una sorta di etichetta o descrizione allegata ai dati principali che ci aiutano a comprendere quest’ultimi cosa sono e come sono stati creati.
L’intervento del Garante
Uno degli aspetti principali del provvedimento riguarda la conservazione dei metadati, che include informazioni come l’instradamento dei messaggi e la loro provenienza. Il Garante ha stabilito che la conservazione di questi metadati non dovrebbe superare i 21 giorni, salvo specifiche condizioni tecniche e organizzative che ne giustifichino un’estensione temporanea. Questo limite mira a evitare un controllo indiretto e sistematico dell’attività lavorativa, che potrebbe configurarsi come un monitoraggio
Il provvedimento ribadisce anche l’importanza del principio di “accountability”, sottolineando che spetta al titolare del trattamento valutare i rischi elevati per i diritti e le libertà delle persone fisiche e, se necessario, condurre una valutazione di impatto sulla protezione dei dati. Il Provvedimento, inoltre, precisa che la raccolta e la conservazione dei metadati devono avvenire nel rispetto del principio di limitazione della finalità, garantendo l’accessibilità selettiva e la tracciabilità degli accessi da parte dei soli soggetti autorizzati e adeguatamente istruiti.
In conclusione, questo provvedimento del Garante rappresenta un passo significativo verso una gestione più equilibrata e trasparente dei dati personali nel contesto lavorativo, proteggendo i diritti dei lavoratori senza compromettere la sicurezza delle infrastrutture informatiche aziendali.