«Le nuove disposizioni sulla gestione dei metadati generati dall’utilizzo delle e-mail aziendali rispondono perfettamente alla necessità di tutelare i lavoratori, senza pregiudicare la sicurezza delle imprese. Un provvedimento di buon senso, frutto di una proficua cooperazione tra il Garante e le associazioni di rappresentanza di professionisti e aziende avvenuta in sede di consultazione pubblica. È la dimostrazione, una volta di più, di quanto importante sia il confronto tra le parti, prima di prendere decisioni dall’impatto potenzialmente disastroso».
Così Alessandro Manfredini, presidente di AIPSA, l’Associazione Italiana Professionisti Security Aziendale, in merito alla pubblicazione, da parte del Garante Privacy, del provvedimento relativo alla gestione della posta elettronica nel contesto lavorativo e il trattamento e la conservazione dei metadati.
«Per i security manager – spiega Manfredini – i metadati sono essenziali per effettuare un’analisi del rischio accurata e scongiurare indebite intrusioni da parte di soggetti esterni e potenziali cybercriminali. Al tempo stesso questi dati non devono poter essere usati per controllare i dipendenti. Ecco perché, come AIPSA, siamo intervenuti con una proposta al Garante per fare in modo che si rivedessero i criteri e i tempi massimi per la conservazione di tali dati, sulla base delle necessità delle singole tipologie di impresa, ma parallelamente responsabilizzando i datori di lavoro a un utilizzo preciso e contingentato di queste informazioni. Il risultato è pienamente soddisfacente: massima tutela per i lavoratori, garanzie di sicurezza per le imprese».
Con queste nuove disposizioni, infatti, le imprese che saranno in grado di dimostrare il bisogno di conservare i metadati/log di funzionamento delle infrastrutture del sistema di posta elettronica in caso di particolari condizioni, incluse ragioni legate alla sicurezza, potranno evitare di cancellarli entro il nuovo termine suggerito di 21 giorni. Ciò, nell’autonomia e nei limiti dell’accountability delle imprese, pur sempre con la garanzia di misure tecniche e organizzative di protezione dei dati dei lavoratori.
In caso contrario, la conservazione di tali dati per un termine più ampio richiederà l’ottenimento di un accordo sindacale o di un provvedimento dell’Ispettorato del Lavoro.
«Queste cautele sono fondamentali – conclude Manfredini - Scongiurare le possibilità di abuso è essenziale, ma è altrettanto importante responsabilizzare le imprese che devono sapere che solo i dati utili e necessari per la sicurezza del sistema possono essere conservati per tempi più lunghi del previsto».