Col provvedimento 642 del 21 dicembre 2023 il Garante della privacy ha adottato il documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati“.

Molte le indicazioni per il corretto trattamento delle mail, da considerare come corrispondenza e soggette al segreto, costituzionalmente garantito, ma pochissime le indicazioni operative concretamente da porre in essere. Con l’eccezione del tempo ridotto di mantenimento nei data base.

Il Garante mette sull’avviso: “dagli elementi ricavabili dai dati esteriori della corrispondenza, come l’oggetto, il mittente e il destinatario e altre informazioni che accompagnano i dati in transito, definendone profili temporali (come la data e l’ora di invio/ricezione), nonché dagli aspetti quali-quantitativi anche in ordine ai destinatari e alla frequenza di contatto (in quanto anche questi dati sono, a propria volta, suscettibili di aggregazione, elaborazione e di controllo), è possibile acquisire informazioni riferite alla sfera personale o alle opinioni dell’interessato“.

Il Garante evidenzia gli obblighi per la liceità del trattamento: appunto i limiti temporali alla conservazione e la trasparenza, consistente nell’informativa ai dipendenti, suggerendo anche ai datori di relazionarsi con i produttori delle piattaforme perchè le rendano conformi alle misure di protezione dei dati.

Per altro, verso, il documento ammette espressamente il “caso in cui i trattamenti di dati personali in questione si dovessero comunque rendere necessari per il perseguimento di esigenze organizzative o produttive“, ma senza fornire nessuno specifico elemento per poter individuare le situazioni connesse. In questi casi, in ogni caso, sono da “espletare le richiamate procedure di garanzia previste dalla disciplina di settore (art. 4 della l. 300/1970) o cessare l’utilizzo di tali programmi e servizi informatici. Resta inteso che, nelle more dell’eventuale espletamento delle procedure di garanzia, i predetti metadati non possono comunque essere utilizzati”.

Le disposizioni valgono per i datori privati ed anche pubblici e non sfuggono alle linee del Garante i programmi e servizi informatici acquistati mediante le convenzioni/piattaforme che le pubbliche amministrazioni devono o possono utilizzare per l’acquisto di beni e servizi,