Il Garante per la protezione dei dati personali ha emesso il Provvedimento del 21 dicembre 2023 – Documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”.
Il Provvedimento è il punto conclusivo di una lunga discussione (diatriba) sul tema ed è diretto a richiamare l’attenzione su alcuni aspetti che potrebbero essere in contrasto con la disciplina di protezione dei dati e le norme a tutela del lavoratore.
In particolare, il Provvedimento indica in 7 giorni, estensibili di 48 ore per comprovate esigenze, il periodo di conservazione dei metadati degli account dei servizi di posta elettronica. Per metadati si intende: giorno, ora, mittente, destinatario, oggetto, dimensione dell’e-mail.
Come comprensibile e prevedibile, il Provvedimento ha suscitato diverse perplessità, molti quesiti e alcune accese proteste. Per questo motivo non ho ancora fornito indicazioni in merito.
Per rispondere alle numerose richieste di chiarimenti ricevute, il Garante ha dunque deciso di differire l’efficacia del documento di indirizzo e promuovere una consultazione pubblica di 30 giorni sulle forme e modalità di utilizzo che renderebbero necessaria una conservazione dei metadati superiore a quella ipotizzata nel documento di indirizzo stesso.
I 30 giorni decorrono dalla data di pubblicazione della consultazione pubblica in Gazzetta Ufficiale.
Fino a nuove indicazioni del Garante, il Provvedimento è dunque da intendersi come sospeso.