Il 6 giugno il Garante Privacy ha ridefinito e condiviso le nuove regole sulla conservazione dei metadati delle email aziendali. Cambia dunque qualcosa dalla precedente pubblicazione (6 febbraio), che aveva suscitato non poche polemiche e preoccupazione da parte delle aziende.
Con queste nuove disposizioni, le imprese che saranno in grado di dimostrare il bisogno di conservare i metadati/log di funzionamento delle infrastrutture del sistema di email aziendali in caso di particolari condizioni, incluse ragioni legate alla sicurezza, potranno evitare di cancellarli entro il nuovo termine suggerito di 21 giorni. Ciò, nell’autonomia e nei limiti dell’accountability delle imprese, pur sempre con la garanzia di misure tecniche e organizzative di protezione dei dati dei lavoratori.
A questo proposito si esprime Alessandro Manfredini, Presidente di AIPSA, l’Associazione Italiana Professionisti Security Aziendale che dichiara: “Le nuove disposizioni sulla gestione dei metadati generati dall’utilizzo delle email aziendali rispondono perfettamente alla necessità di tutelare i lavoratori, senza pregiudicare la sicurezza delle imprese. Un provvedimento di buon senso, frutto di una proficua cooperazione tra il Garante e le associazioni di rappresentanza di professionisti e aziende avvenuta in sede di consultazione pubblica. È la dimostrazione, una volta di più, di quanto importante sia il confronto tra le parti, prima di prendere decisioni dall’impatto potenzialmente disastroso”.
Il Garante ha accolto le proposte di AIPSA
“Per i security manager”, spiega Alessandro Manfredini, “i metadati sono essenziali per effettuare un’analisi del rischio accurata e scongiurare indebite intrusioni da parte di soggetti esterni e potenziali cybercriminali. Al tempo stesso questi dati non devono poter essere usati per controllare i dipendenti. Ecco perché, come AIPSA, siamo intervenuti con una proposta al Garante per fare in modo che si rivedessero i criteri e i tempi massimi per la conservazione di tali dati, sulla base delle necessità delle singole tipologie di impresa, ma parallelamente responsabilizzando i datori di lavoro a un utilizzo preciso e contingentato di queste informazioni. Il risultato è pienamente soddisfacente: massima tutela per i lavoratori, garanzie di sicurezza per le imprese”.
Quando si può prolungare la conservazione dei metadati delle email aziendali?
In caso contrario, la conservazione di tali dati per un termine più ampio richiederà l’ottenimento di un accordo sindacale o di un provvedimento dell’Ispettorato del Lavoro.
“Queste cautele sono fondamentali”, conclude Alessandro Manfredini. “Scongiurare le possibilità di abuso è essenziale, ma è altrettanto importante responsabilizzare le imprese che devono sapere che solo i dati utili e necessari per la sicurezza del sistema possono essere conservati per tempi più lunghi del previsto”.
