Come definire il termine di conservazione dei metadati? Come conciliare le esigenze di impresa con le indicazioni del Garante?

Articolo header

Lo scorso 6 giugno l’Autorità Garante ha pubblicato la versione definitiva del, tanto dibattuto, documento di indirizzo sui metadati. Il compromesso individuato, al termine della consultazione pubblica, è stato quello di estendere il termine previsto per la raccolta e la conservazione dei metadati di posta elettronica – senza la necessità di adempiere agli obblighi previsti in materia di controlli a distanza – da massimo 7 giorni estensibili di ulteriori 48 ore a massimo 21 giorni. Il nuovo provvedimento rischia di rappresentare una mezza soluzione: il rischio è quello di neutralizzare il valore probatorio della corrispondenza in caso di giudizio. Come comportarsi?




Metadati e tutela dei diritti degli individui

La gestione dei metadati di posta elettronica può sembrare un tema di secondaria importanza, se non si considerano le implicazioni sui diritti e sulle libertà degli interessati. Sin dalla pubblicazione della prima versione del “Documento di indirizzo sulla conservazione dei metadati”, il Garante ha, quindi, reso nota l’esigenza di sensibilizzare enti ed imprese rispetto alla raccolta e al trattamento dei metadati, in modo da favorire la diffusione di migliori prassi a tutela dei diritti e delle libertà delle persone fisiche.

I metadati rappresentano, infatti, un insieme di dettagli aggiuntivi in grado rivelare abitudini personali, schemi di comportamento e reti di relazioni degli individui. Per tale ragione e, in particolare, nel contesto lavorativo, è fondamentale che la raccolta e l’eventuale analisi di questi dati avvenga nel rispetto delle garanzie di segretezza della corrispondenza tutelate anche costituzionalmente.


La strada per l'inferno è lastricata di buone intenzioni

Le intenzioni che hanno portato alla realizzazione del documento, pertanto, sono sicuramente condivisibili. A generare il dibattito che ha forzato l’Autorità ad avviare la consultazione pubblica, è stata, però, la decisione di inserire, nell’intrecciato del provvedimento, indicazioni - “orientative” ma molto chiare - sulla conservazione massima dei metadati generati dai sistemi di posta elettronica.

Al termine della consultazione pubblica tali indicazioni sono state oggetto di revisione da parte del Garante, il quale ha rivisto il passaggio maggiormente dibattuto come segue:

Provvedimento del 21 dicembre 2023
Provvedimento del 6 giugno 2024
“l’attività di raccolta e conservazione dei soli c.d. metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, per un tempo che, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione - affinché sia ritenuto applicabile il comma 2 dell’art. 4 della L. n. 300/1970 – non può essere superiore di norma a poche ore o ad alcuni giorni,  in ogni caso non oltre sette giorni,  estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore”.
“affinché sia ritenuto applicabile il comma 2 dell’art. 4 della L. n. 300/1970, l’attività di raccolta e conservazione dei soli metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione, si ritiene che possa essere effettuata, di norma, per un periodo limitato a pochi giorni; a titolo orientativo, tale conservazione non dovrebbe comunque superare i 21 giorni”.


La scelta dell’Autorità è stata quella di mantenere la previsione di un termine massimo di conservazione dei metadati di posta, superato il quale la raccolta e la conservazione degli stessi diviene legittimamente possibile solo previo accordo sindacale o autorizzazione dell’ispettorato del lavoro competente.


La scelta di rispettare il termine 

Due sono quindi le strade percorribili: enti ed imprese possono scegliere di limitare l’attività di raccolta e conservazione dei metadati di posta elettronica a 21 giorni, per poter rientrare nel comma 2 dell’articolo 4, L. 300/1970. Ciò significa valutare, con il supporto della funzione IT, le impostazioni messe a disposizione dal provider di posta elettronica ed interfacciarsi con lo stesso, ove non sia possibile modificare agevolmente i termini massimi di conservazione dei metadati.

Pro e contro

Il principale vantaggio di questa soluzione deriva dai minori adempimenti necessari. Una volta limitato il termine di conservazione dei metadati, il trattamento può considerarsi rientrante nella deroga di cui al sopracitato comma 2 dell’articolo 4, L. 300/1970 e quindi essere esente da accordo sindacale o autorizzazione dell’ispettorato del lavoro.

Al tempo stesso, limitare in tal modo la conservazione dei metadati potrebbe compromettere il valore probatorio della corrispondenza in caso di giudizio. I log, infatti, sono informazioni essenziali per determinare l’autenticità di un messaggio e la conseguente utilizzabilità in sede di contenzioso amministrativo, civile o penale.


La scelta di superare il termine 

La seconda strada percorribile è quella di stabilire autonomamente, in base alle effettive finalità perseguite, un termine di conservazione dei metadati congruo. Ciò significa valutare le esigenze tecniche ed organizzative che legittimano la retention dei metadati per un periodo superiore ai 21 giorni ed adempiere agli obblighi previsti dal GDPR, dallo Statuto dei lavoratori e formalizzati dal Garante nel documento di indirizzo.

Pro e contro

La scelta di superare il limite di 21 giorni di conservazione dei metadati può rivelarsi vincente qualora l’organizzazione si trovi nella situazione di dover far valere della corrispondenza in fase di giudizio. In una simile situazione, infatti, il titolare del trattamento / datore di lavoro potrebbe produrre in sede di contenzioso una prova valida, in quanto completa di tutte le informazioni necessarie.

L’estensione del temine di conservazione dei metadati oltre i 21 giorni, però, richiede:

  • una preliminare valutazione delle finalità perseguite dal titolare del trattamento (ad esempio mediante valutazione di precedenti situazioni in cui vi è stata la necessità di produrre della corrispondenza in giudizio);
  • di comprovare adeguatamente, in applicazione del principio di accountability, le specificità della realtà tecnica e organizzativa del titolare che rendono necessaria l’estensione del termine di conservazione;
  • la valutazione del legittimo interesse del titolare di estendere tale termine;
  • l’effettuazione di una DPIA volta a valutare l’impatto del trattamento sugli interessati (che ricordiamo essere lavoratori e, pertanto, soggetti vulnerabili);
  • l’esperimento delle garanzie di cui all’articolo 4, comma 1, L. 300/1970, ovvero la stipula di un accordo con le rappresentanze sindacali o la richiesta di autorizzazione all’ispettorato del lavoro competente;
  • l’aggiornamento dell’informativa di cui all’articolo 4, comma 3, L. 300/1970.


Una decisione difficile

In conclusione, le organizzazioni si trovano ora nella posizione di dover decidere se superare o meno il termine massimo di conservazione dei metadati stabilito dal Garante, valutando tutti i pro e i contro sopra riportati. In ogni caso, è lo stesso documento di indirizzo a ricordare che i tempi di conservazione dei metadati devono essere proporzionati rispetto alle legittime finalità perseguite. La determinazione dei termini deve sempre essere congrua ai trattamenti svolti, per evitare di incorrere nella sanzione per violazione del principio di “limitazione della conservazione”.

Tutti i DPO, quindi, sono chiamati a fornire supporto ai titolari che si trovano nella condizione di prendere questa, difficile, decisione. Si renderà necessario effettuare una valutazione caso per caso della realtà organizzativa del titolare del trattamento, del contesto di riferimento in cui opera, delle esigenze di impresa, nonché delle precedenti situazioni in cui l’accesso alle e-mail è stato necessario a fini probatori. 

Di questo e di altro ancora parleremo nella nostra rubrica “L’ora della Privacy”. Appuntamento fissato il giorno 12 luglio in live su YouTube!



Altre news