La conservazione della posta elettronica tra GDPR e gestione documentale

Il tema della conservazione della posta elettronica del dipendente una volta che costui abbia terminato il proprio rapporto di lavoro, è senza dubbio centrale nella gestione in particolare dei rapporti aziendali ed è stato oggetto di specifica attenzione da parte dell’Autorità Garante; logico dunque che possa essere oggetto delle verifiche e dell’attenzione di un DPO.

Si contrappongono infatti esigenze di tutela di dati personali, legati evidentemente alla presenza di messaggi a contenuto provato, ad esigenze di gestione dell’azienda posto che le comunicazioni inviate dal dipendente potrebbero avere (e spesso hanno) rilevanza per vicende negoziali ancora in corso o comunque i cui effetti giuridici si propagano nel tempo, magari anche a distanza di anni (si pensi ad esempio alla trasmissione di specifiche tecniche di un determinato manufatto; il fatto che la trasmissione di queste sia avvenuta via mail può essere rilevante in caso di contenzioso).

Unitamente a ciò, occorre considerare che i messaggi di posta elettronica a contenuto e rilevanza giuridica devono essere conservati per dieci anni; si tratta infatti di documenti informatici che, costituendo anche una forma di corrispondenza, devono essere conservati per ciascun affare secondo le previsioni dell’art. 2214 del codice civile. Inoltre le e-mail a contenuto commerciale vanno conservate a fini fiscali in forza di quanto prevede l’art. 22 del dpr 600 del 1973.

Come appare evidente, una tematica intricata anche dal punto di vista della protezione dei dati personali, sicché il punto di partenza dell’analisi non può che essere la posizione del Garante, che apparentemente è molto netta.

Con un noto provvedimento del 1° febbraio del 2018 è stato infatti affermato che “la legittima necessità di assicurare l´ordinario svolgimento e la continuità dell´attività aziendale nonché di provvedere alla dovuta conservazione di documentazione in base a specifiche disposizioni dell´ordinamento è assicurata, in primo luogo, dalla predisposizione di sistemi di gestione documentale con i quali ˗ attraverso l´adozione di appropriate misure organizzative e tecnologiche ˗ individuare i documenti che nel corso dello svolgimento dell´attività lavorativa devono essere via via archiviati con modalità idonee a garantire le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità prescritte dalla disciplina di settore applicabile (si veda quanto stabilito dal D.P.C.M. 3 dicembre 2013, recante le Regole tecniche in materia di sistema di conservazione ai sensi degli articoli 20, commi 3 e 5-bis, 23-ter, comma 4, 43, commi 1 e 3, 44, 44-bis e 71, comma 1, del Codice dell´amministrazione digitale di cui al decreto legislativo n. 82 del 2005; parimenti i documenti che rivestano la qualità di “scritture contabili” devono essere memorizzati e conservati con modalità determinate: artt. 2214 c.c.; artt. 43 e 44, d. lgs. 7 marzo 2005, n. 82, “Codice dell´amministrazione digitale”). I sistemi di posta elettronica, per loro stessa natura, non consentono di assicurare tali caratteristiche”.

Orientamento sostanzialmente non difforme era stato espresso il 22 dicembre 2016 allorché si era ritenuta non conforme ai principi di necessità, pertinenza e non eccedenza la conservazione indistinta di tutte le e-mail scambiate da un ex dipendente.

Un dato pare dunque chiaro e poco discutibile: il Garante della Privacy non ritiene legittima l’archiviazione, in qualunque forma venga effettuata, del contenuto indistinto di una casella di posta elettronica.

Questo assunto pare non possa essere messo in discussione e peraltro appare anche in larga parte condivisibile; occorre però domandarsi se non vi sia modo di conciliare tale visione con le esigenze aziendali (per normativa e per opportunità) di conservazione della posta elettronica. Per sviluppare tale ragionamento occorre partire da quanto affermato dal Garante nell’ambito del provvedimento del 1° febbraio ’18 e cioè che la conservazione della documentazione rilevante per la vita societaria non deve essere gestita attraverso un client di posta elettronica ma va affidata a sistemi di gestione documentale.

Vera questa tesi, si può ragionare su quest’ultimo punto, in particolare sulla normativa internazionale che presiede lo sviluppo di tali sistemi. Esiste infatti una norma ad hoc, la ISO 15489:2016, che definisce il concetto di “record” ovvero di documento che entra a far parte del sistema di gestione documentale di una determinata organizzazione e che è quindi destinato a sedimentarsi nell’archivio della stessa. Detto documento, dice la norma, per essere considerato credibile non deve essere sottoposto ad alcuna manipolazione e deve perpetuare la sua esistenza con tutti gli attributi che gli sono propri.

Inoltre va considerato che la definizione di “record” data dallo standard ISO ben si attaglia anche a documenti (informatici) che fungano da veicolo per la trasmissione di dati nello spazio e nel tempo, ovvero, nell’analisi in corso, alle mail.

Possiamo dunque giungere alla constatazione che il messaggio di posta elettronica trova la sua collocazione all’interno di un sistema di gestione documentale:

• sia in quanto attributo che correda la valenza giuridica di un documento che sia ad esso allegato;
• sia in quanto documento informatico a sé stante che esprime una realtà ben determinata (ad esempio nel corpo della stessa e-mail).

Tale beve analisi porta perciò a pensare che i paletti posti dall’Autorità Garante siano in realtà compatibili con la gestione della posta elettronica all’interno di un più ampio sistema documentale.

Attraverso una gestione così strutturata si ottiene infatti la certezza che i messaggi in questione siano di piena rilevanza aziendale e costituiscono perciò veri e propri record per i quali è necessaria la conservazione all’interno degli archivi aziendali.