Sospese le nuove regole del Garante Privacy sulle email dei dipendenti

Provvedimento n. 127 del 22 febbraio 2024.

Sonia Gallozzi, consulente giuslavorista Sede nazionale

Il Garante della Privacy, con un provvedimento del 21 dicembre 2023, pubblicato il successivo 6 febbraio, avente ad oggetto “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, e già commentato, ha fissato regole molto precise sulla gestione della posta elettronica dei lavoratori, limitando il periodo di conservazione degli stessi ad un limite massimo di sette giorni, estensibile di ulteriori 48 ore in presenza di condizioni specifiche, salva attivazione della procedura di accordo sindacale/autorizzazione amministrativa prevista dall'articolo 4 della legge 300/1970 per il prolungamento di tale termine.

Orbene, con il provvedimento del 22 febbraio, reso noto il successivo 27 febbraio, il Garante, con un evidente cambio di rotta, ha rinviato l’entrata in vigore delle linee guida emanate il 21 dicembre scorso e, contestualmente, ha avviato un percorso di consultazione pubblica finalizzato ad acquisire pareri di esperti e operatori.

E’ evidente che le conseguenze dirompenti che tali disposizioni avrebbero avuto nei confronti delle aziende, le quali non avrebbero più potuto avere a disposizione i metadati della posta elettronica (mittente e destinatario, data di invio e ricezione del messaggio, oggetto, dimensione del messaggio e degli allegati), nonché la necessità di “rispondere alle numerose richieste di chiarimenti ricevute”, ha comportato un necessario intervento del Garante, il quale, come sopra accennato, ha, innanzitutto, avviato una consultazione pubblica sulla congruità del termine di conservazione dei metadati degli account dei servizi di posta elettronica dei lavoratori. In buona sostanza, tutti i datori di lavoro – pubblici e privati – nonché gli esperti della disciplina di protezione dei dati e tutti gli altri soggetti interessati potranno inoltrare al Garante osservazioni, commenti, informazioni, proposte e tutti gli elementi ritenuti utili per una migliore regolazione della materia, entro 30 giorni a partire dalla pubblicazione in Gazzetta ufficiale del provvedimento, tramite posta ordinaria o con e-mail sulle caselle protocollo@gpdp.it oppure protocollo@pec.gpdp.it. La seconda misura del Garante è stata quella di “differire l’efficacia del documento di indirizzo” del 21 dicembre scorso fino a quando, successivamente al termine della consultazione pubblica, non saranno adottate nuove misure (o, in caso di mancata adozione di nuovi atti, fino ai 60 giorni successivi alla fine della consultazione). Ciò detto, fino a quando non sarà completato il percorso di raccolta delle opinioni, e per un periodo massimo di 90 giorni, i datori e gli operatori che gestiscono i cloud dove sono collocate le e-mail aziendali non dovranno apportare modifiche alle politiche di conservazione.

Ad oggi, dunque, è stata disposta la sola sospensione dell’efficacia del provvedimento, ma si auspica che l’apporto modificativo sia rilevante, attesa la seria difficoltà per le aziende di applicare disposizioni che potrebbero comportare una vera e propria paralisi del sistema gestionale.