Il Garante Privacy mette al bando le e-mail aziendali: chi conserva per più di 7 giorni i “metadati” utili a rintracciare i messaggi dei dipendenti opera un trattamento illecito di dati personali, e rischia pesanti sanzioni civili e penali. Una lettura che pretende di riportare le aziende agli anni ottanta, quando lo strumento principale di comunicazione erano la posta cartacea e il fax, che è stata formalizzata in un provvedimento del 21 dicembre (pubblicato il 6 febbraio scorso). Secondo tale provvedimento, si possono conservare i cosiddetti “metadati” delle e-mail posizionati nei cloud solo per 7 giorni (salvo una ulteriore mini-proroga di 48 ore); per la precisione, il periodo di conservazione di questi dati «non può essere superiore di norma a poche ore o ad alcuni giorni, in ogni caso non oltre 7 giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore».
Chi vuole tenere nel cloud i metadati per un periodo superiore, ha una strada obbligata: deve sottoscrivere un accordo seguendo la procedura prevista dall’art. 4 dello Statuto dei lavoratori. Questa norma consente di utilizzare sistemi che generano un controllo indiretto a distanza dei lavoratori solo se tale utilizzo viene espressamente autorizzato da un accordo sindacale o, in mancanza, si può chiedere l’autorizzazione all’Ispettorato nazionale del lavoro (nella sede territoriale o, nel caso di imprese con più sedi, nella sede centrale). Se non si segue tale procedura, i metadati vanno cancellati entro 7 giorni.
Per capire l’impatto del provvedimento, facciamo un passo indietro: cosa sono i “metatadati”? Sono elementi indispensabili per catalogare le e-mail dei dipendenti: ci danno il giorno e l’ora di invio delle e-mail, il mittente e il destinatario della comunicazione, l’oggetto e la dimensione degli allegati. Senza i metadati è praticamente impossibile l’indicizzazione e la ricerca di un messaggio di posta elettronica: per fare un esempio facile da comprendere, togliere i metadati alle e-mail equivale a togliere dai libri di una biblioteca le etichette usate per archiviarli.
Il Garante impone, come accennato, la cancellazione dei metadati dopo 7 giorni, ritenendo che questi non siano “strumenti di lavoro” e quindi debbano sottostare alle rigide procedure dello Statuto dei lavoratori (di cui abbiamo parlato in apertura). Sempre in conseguenza di tale provvedimento, le aziende dovranno curare una lista corposa di adempimenti per essere in regola con la normativa privacy: dovranno aggiornare l’informativa privacy per i dipendenti, eseguire una valutazione di impatto sui diritti fondamentali, eseguire un test di bilanciamento, rivedere la politica di conservazione dei dati. Insomma, una montagna di carta, procedure e adempimenti per continuare a usare le e-mail come vengono usate oggi.
Un approccio del tutto anacronistico, che muove da una prospettiva totalmente incompatibile con la rivoluzione digitale: l’idea che si possa gestire la questione dei dati digitali mettendo regole e paletti rigidi, un approccio possibile solo in un mondo che non esiste più. Un provvedimento di fatto inapplicabile per qualsiasi azienda, che andrebbe incontro a rischi legali enormi se smettesse di usare i metadati (perdendo di fatto tutte le e-mail dei dipendenti): basti pensare che la prescrizione ordinaria è di 10 anni, e che per moltissimi contenziosi (si pensa a una causa per mobbing, una controversia sulle mansioni, una contestazione commerciale) le aziende devono obbligatoriamente conservare le e-mail per assicurare la propria sopravvivenza.
Insomma, nessuna azienda dotata di raziocinino darò corso alle indicazioni del Garante; tuttavia, questa disapplicazione di massa avrà un effetto dirompente, perché le imprese saranno esposte alle pesanti sanzioni amministrative (nei casi più gravi, una multa che va dal 2 al 4% del fatturato), civili e penali previsti per opera un trattamento illecito dei dati dei dipendenti. Qualcuno potrebbe obiettare che il Garante una soluzione la propone, quella di stipulare, azienda per azienda, appositi accordi sindacali; una strada, come sa chiunque pratica le relazioni industriali, che è irta di difficoltà.
Senza questi accordi, ci sarà il caos: le aziende proveranno ad ottenere l’autorizzazione dagli ispettorati del lavoro, ma anche questo passaggio non sarà agevole, perché ancora non è possibile conoscere l’indirizzo che seguiranno. Qualcuno potrebbe obiettare: è giusto controllare il trattamento dei dati personali; siamo totalmente d’accordo, nell’era digitale la potenzialità pervasiva dei controlli è un fenomeno che va gestito, controllato e governato. Ma questo controllo non può spingersi fino al punto di imporre il ritorno al fax e alla raccomandata: una scelta del genere si chiama semplicemente autolesionismo.
Leggi anche:
- ChatGPT nel mirino del Garante della privacy: notificato a OpenAI atto di contestazione
- Il carabiniere accusato di rubare e vendere dati personali a Milano: «200 mila interrogazioni in tre anni»
- «Troppi insulti a Meloni e Fedez: sui social serve la carta d’identità», rispunta l’idea anti-haters da Fratelli d’Italia
- Il Garante: «Le telecamere private non possono riprendere le aree pubbliche: è videosorveglianza»
- La direttiva Ue non consentirà di sapere lo stipendio del collega. Ecco cosa dice in realtà
