Metadati e-mail lavoratori: il provvedimento del Garante Privacy
Con il provvedimento n. 364 del 6 giugno 2024 il Garante Privacy ha provveduto ad aggiornare il documento “programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”. Questo documento, che costituisce l’allegato 1 del provvedimento 3634, ne costituisce parte integrante.
Definizione e tempi conservazione metadati
Il provvedimento si occupa in particolare della definizione dei meta dati e della durata di conservazione dei meta dati degli account di posta elettronica utilizzati dei dipendenti. Questo perché c’è il rischio che i programmi di servizi informatici per la gestione della posta elettronica, anche in modalità cloud, possano procedere alla raccolta preventiva e generalizzata, per impostazione predefinita, dei meta dati degli account.
Cosa sono i metadati
I metadati a cui si riferisce il provvedimento sono informazioni registrate nei log che vengono generati dai sistemi server che gestiscono lo smistamento della posta elettronica e delle postazioni relative alle interazioni tra i server interagenti e tra questi ultimi e i client. Ne costituiscono un esempio gli indirizzi email di mittente e destinatario, gli indirizzi IP dei server o dei client, gli orari di invio, di trasmissione, ritrasmissione e ricezione, la dimensione dei messaggi e gli allegati.
I metadati di cui si occupa il provvedimento non vanno confusi con il contenuto del messaggio di posta elettronica. Questi dati infatti restano a disposizione dell’utente lavoratore. In relazione al contenuto testuale della e-mail pertanto non sono previsti nuovi adempimenti o responsabilità a carico del titolare del trattamento.
Conservazione dei metadati
Detto questo, il Garante della Privacy fornisce le informazioni necessarie ai datori di lavoro per consentire il funzionamento corretto e l’utilizzo regolare della posta elettronica, comprese le garanzie necessarie di sicurezza informatica.
In particolare, quanto riguarda la disciplina dei controlli a distanza precisa il Garante precisa che “l’attività di raccolta e conservazione dei soli mercati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, all’esito di valutazioni tecniche nel rispetto del principio di responsabilizzazione, si ritiene che possa essere effettuata, di norma, per un periodo limitato a pochi giorni; a titolo orientativo, tale conservazione non dovrebbe comunque superare i 21 giorni… Eventuale conservazione per un termine ancora più ampio e sì potrà essere effettuata, solo in presenza di particolari condizioni che ne rendano necessario l’estensione, comprovando adeguatamente (…) le specificità della realtà tecnica e organizzativa del titolare. Spetta in ogni caso il titolare adottare tutte le misure tecniche organizzative per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati”.
Responsabilità dei datori di lavoro
Sulle eventuali responsabilità dei datori di lavoro il Garante ricorda che la raccolta generalizzata e la conservazione dei meta dati che si riferiscono all’utilizzo della posta elettronica da parte dei dipendenti, per lunghi periodi di tempo, in mancanza di idonei requisiti giuridici, può consentire al datore di lavoro di acquisire informazioni personali e relativi alle opinioni del dipendente che non rilevano per valutarne l’attitudine professionale.
I titolari dei trattamenti sono tenuti ad effettuare la raccolta e la conservazione dei log nel rispetto dei principi di correttezza e di trasparenza. I lavoratori pertanto devono essere adeguatamente informati sul trattamento dei loro dati se si riferiscono a comunicazione elettroniche che li riguardano. A tal fine gli stessi devono essere resi edotti delle caratteristiche del trattamento, con particolare riguardo alla durata della conservazione dei dati e ad eventuali controlli.
I tempi di conservazione dei meta dati devono essere proporzionati alle finalità da perseguire. La mancata definizione in misura proporzionale dei tempi di conservazione comportano la violazione del principio di limitazione della conservazione, contemplato dall’articolo 5 del GDPR.
I datori di lavoro pubblici e privati per evitare responsabilità amministrative e penali devono quindi adottare tutti gli accorgimenti necessari per conformare i trattamento dei dati dei dipendenti alla disciplina di protezione dei dati e a quella di settore. Il datore di lavoro è tenuto quindi, in relazione ai servizi forniti in modalità cloud o as a service, a rispettare la normativa di protezione dei dati personali anche con riferimento al periodo di conservazione dei metadati.