L’Autorità Garante per la protezione dei dati personali, con il provvedimento n. 364 del 6 giugno 2024, ha pubblicato un documento di indirizzo aggiornato a seguito di una consultazione pubblica. Tale documento riguarda i programmi e i servizi informatici per la gestione della posta elettronica nell’ambito lavorativo e il trattamento dei metadati delle email dei dipendenti.
Il Garante specifica che il documento non introduce nuove prescrizioni né nuovi adempimenti per i titolari del trattamento. L’obiettivo è fornire una ricostruzione sistematica delle disposizioni applicabili, basata su precedenti decisioni dell’Autorità, per richiamare l’attenzione su alcuni punti di intersezione tra la disciplina della protezione dei dati e le norme sull’uso degli strumenti tecnologici nei luoghi di lavoro.
Secondo il Garante, i metadati comprendono informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (Mail Transport Agent) e dalle postazioni client (Mail User Agent). Questi metadati includono indirizzi email del mittente e del destinatario, indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, orari di invio, ritrasmissione o ricezione, dimensione del messaggio, presenza e dimensione di eventuali allegati, e l’oggetto del messaggio. Queste informazioni vengono registrate automaticamente dai sistemi di posta elettronica, indipendentemente dalla volontà degli utilizzatori.
Il Garante chiarisce che i metadati non devono essere confusi con le informazioni contenute nel corpo del messaggio di posta elettronica o con l’envelope, l’insieme delle intestazioni tecniche che documentano l’instradamento e la provenienza del messaggio. Sebbene registrati automaticamente, questi metadati rimangono sotto il controllo esclusivo dell’utente e non rientrano nelle indicazioni del documento relativamente ai tempi di conservazione.
La liceità del trattamento dei metadati è regolata dall’art. 4, comma 1, della Legge 300/1970, che individua le finalità per le quali gli strumenti tecnologici possono essere utilizzati nel contesto lavorativo, stabilendo precise garanzie procedurali come l’accordo sindacale o l’autorizzazione pubblica. Tali garanzie non si applicano agli strumenti di registrazione degli accessi e delle presenze, né agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa (art. 4, comma 2). Il Garante sottolinea che questa eccezione deve essere interpretata in maniera restrittiva, data la rilevanza delle responsabilità penali derivanti dalla violazione della normativa.
Per la raccolta e conservazione dei metadati necessari al funzionamento dei sistemi di posta elettronica riferiti alle email dei dipendenti, il Garante stabilisce un periodo limitato a pochi giorni, solitamente non superiore a 21 giorni. La conservazione per periodi più lunghi è consentita solo in presenza di specifiche condizioni che ne giustifichino l’estensione, secondo il principio di accountability previsto dal GDPR.
Il titolare del trattamento deve adottare tutte le misure tecniche e organizzative per garantire il rispetto del principio di limitazione della finalità, assicurando l’accessibilità selettiva ai soli soggetti autorizzati e la tracciatura degli accessi effettuati. La conservazione estesa dei log di posta elettronica dei dipendenti richiede l’osservanza delle garanzie previste dall’art. 4, comma 1, della Legge 300/1970.
Il titolare del trattamento, anche quando utilizza prodotti o servizi di terzi, deve verificare la conformità ai principi applicabili al trattamento dei dati (art. 5 GDPR), adottando le opportune misure tecniche e organizzative e impartendo le necessarie istruzioni al fornitore del servizio. Questo include la disattivazione delle funzioni non compatibili con le finalità del trattamento o contrarie a specifiche norme di settore, e l’adeguata gestione dei tempi di conservazione dei dati o la richiesta di anonimizzazione dei metadati, se non si intende conservarli più a lungo.
Il GDPR richiede che già in fase di progettazione, sviluppo, selezione e utilizzo di applicazioni, servizi e prodotti che trattano dati personali, i produttori tengano conto del diritto alla protezione dei dati. I fornitori devono quindi garantire che i titolari del trattamento possano rispettare gli obblighi di protezione dei dati, conciliando le esigenze di commercializzazione su larga scala dei loro prodotti con la conformità ai principi del Regolamento, migliorando così il prodotto offerto.
I datori di lavoro, sia pubblici sia privati, devono adottare le misure necessarie per conformare i propri trattamenti alla disciplina di protezione dei dati e a quella di settore. È compito del titolare del trattamento assicurarsi che i programmi e servizi informatici per la gestione delle email dei dipendenti, specialmente se forniti in modalità cloud o as-a-service, permettano il rispetto della disciplina di protezione dei dati, inclusi i termini di conservazione dei metadati.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Verso una regolamentazione consapevole: analisi del Codice di Buone Pratiche sull’intelligenza artificiale generale - Novembre 15, 2024
- L’armonizzazione degli standard per l’AI Act: verso una conformità normativa sicura e affidabile - Ottobre 31, 2024
- Consultazione della Commissione Europea sull’accesso ai dati delle piattaforme - Ottobre 29, 2024
- Sanzione del Garante Privacy a Postel S.p.A.: prevenzione e corretta segnalazione della violazione in caso di data breach - Ottobre 23, 2024
- Sul valore probatorio delle firme elettroniche nel processo - Ottobre 18, 2024
