Recentemente il Garante per la protezione dei dati personali è entrato a gamba tesa sulla gestione delle e-mail aziendali, cioè quelle assegnate ai lavoratori da parte di una qualsiasi organizzazioni.

Un primo provvedimento di febbraio, sicuramente poco a fuoco, aveva scatenato il panico disponendo, di fatto, un obbligo di cancellazione dei contenuti delle e-mail aziendali entro pochi giorni dalla loro creazione, con conseguenze evidentemente ingestibili per la normale operatività di una qualsiasi organizzazione.

Con un successivo provvedimento di giugno 2024, il Garante è in parte ritornato sui suoi passi, identificando con chiarezza le informazioni per le quali è imposto un limite alle tempistiche di conservazione. Si tratta dei c.d. “metadati”, cioè le informazioni che vengono generate automaticamente dai sistemi di posta elettronica e non coincidono con i contenuti dei messaggi stessi. In particolare sono considerati metadati:

• l’indirizzo e-mail del mittente della posta;
• l’indirizzo e-mail del destinatario della posta;
• l’indirizzo IP dei server o dei clienti;
• gli orari di invio, di ritrasmissione o di ricezione;
• la dimensione del messaggio;
• la presenza e la dimensione di eventuali allegati.

I suddetti metadati, l’attività di raccolta e conservazione può essere effettuata per un periodo non superiore ai 21 giorni, salvi casi di necessità previsti dal titolare del trattamento dei dati e documentati in maniera oggettiva.

Cosa deve fare quindi il datore di lavoro per conformarsi alle indicazioni del Garante? Posto che la maggior parte dei datori di lavoro utilizza servizi forniti da provider e-mail, sarà nei confronti di questi soggetti che andranno indirizzate le richieste di adeguarsi alle indicazioni del garante, consentendo di poter modificare le impostazioni di default, impedendo la raccolta dei dati o limitandola. Qualora il fornitore di servizi non si conformi, l’unica possibilità sarà quella di cambiare provider se non si vuole incorrere in contestazioni.