Il Garante per la protezione dei dati personali, con il Provvedimento 6 giugno 2024, n. 364, ha aggiornato le linee guida sui programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati. Il Provvedimento modifica e sostituisce il precedente Provvedimento 21 dicembre 2023, n. 642, che prescriveva la cancellazione dei cc.dd. “metadati” degli account dei servizi di posta elettronica dei lavoratori dopo un periodo di conservazione di non oltre 7/9 giorni.
Nel nuovo Provvedimento il Garante ha rivisto le indicazioni sulla conservazione dei metadati, chiarendone il perimetro applicativo, la natura, nonché la ratio.
Di seguito le principali novità:
Definizione di metadati
I metadati a cui si fa riferimento nelle linee guida corrispondono alle informazioni registrate nei log generati dai sistemi server che gestiscono e instradano la posta elettronica cc.dd. “log di trasporto” (noti come Mail Transport Agent), e dalle postazioni nelle interazioni tra i vari server interagenti, nonché tra questi server e i terminali che inviano i messaggi (noti come Mail User Agent).
Ciò significa che le linee guida non si riferiscono alle informazioni contenute o integrate nel corpo dei messaggi di posta elettronica, che costituiscono l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento, l’origine e altri parametri tecnici del messaggio. Queste informazioni sono inseparabili dal messaggio in questione e rimangono a disposizione del dipendente nella casella di posta elettronica assegnata.
Conservazione dei dati
Le linee guida aggiornate confermano che la conservazione dei metadati necessari per il funzionamento dell’infrastruttura del sistema di posta elettronica è consentita per un periodo limitato di alcuni giorni, non superiore a 21 giorni.
Pertanto, la conservazione generalizzata dei metadati per un periodo di tempo più lungo può avvenire solo con il previo accordo con le rappresentanze sindacali o con la previa autorizzazione dell’Ufficio Territoriale del Lavoro, di cui all’art. 4, co. 1 dello Statuto dei lavoratori.
Il Garante sottolinea inoltre l’importanza di informare i dipendenti sulla raccolta e l’uso dei loro metadati di posta elettronica, inclusi i periodi di conservazione ed il potenziale monitoraggio.
Inoltre, i fornitori di servizi devono implementare misure adeguate per garantire che i titolari del trattamento siano in grado di soddisfare i loro obblighi ai sensi delle linee guida.
In sintesi
Si suggerisce di:
- verificare che i programmi di gestione delle e-mail in uso consentano di conformarsi ai requisiti delle linee guida;
- fornire ai lavoratori una informativa chiara sul trattamento dei dati personali relativi alle comunicazioni elettroniche che li riguardano;
- per i metadati conservare per più di 21 giorni, stipulare un accordo con le rappresentanze sindacali o, in mancanza, ottenere l’autorizzazione dall’Ufficio Territoriale del Lavoro;
- condurre una valutazione d’impatto sulla protezione dei dati (DPIA) e un test di bilanciamento (LIA);
- adottare tutte le misure tecniche e organizzative per garantire il rispetto della normativa sulla protezione dei dati personali e di quella di settore.