L’Autorità Garante per la protezione dei dati personali, con il provvedimento n. 364 del 6 giugno 2024, ha emanato un documento di indirizzo aggiornato sui programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e sul trattamento dei metadati delle email dei dipendenti.
Il documento specifica che lo stesso non introduce nuove prescrizioni, ma offre una ricostruzione delle disposizioni applicabili, richiamando l’attenzione su alcuni punti di intersezione tra la normativa sulla protezione dei dati e le norme sull’uso degli strumenti tecnologici nei luoghi di lavoro.
Definizione dei Metadati
Il Garante definisce i metadati come le informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA) e dalle postazioni client (MUA). Questi metadati includono:
- Indirizzi email del mittente e del destinatario
- Indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio
- Orari di invio, ritrasmissione o ricezione
- Dimensione del messaggio
- Presenza e dimensione di eventuali allegati
- Oggetto del messaggio
I metadati registrati automaticamente dai sistemi di posta elettronica sono indipendenti dalla percezione e volontà dell’utente.
Il documento chiarisce in modo preciso l’oggetto a cui si riferisce: “i metadati, così come qui intesi, non devono essere in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro ‘body-part’ (corpo del messaggio) o integrate nei medesimi – ancorché talvolta non immediatamente visibili agli utenti dei software ‘client’ di posta elettronica (i cosiddetti MUA – Mail User Agent) – a formare il cosiddetto envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici“.
Liceità del Trattamento
L’Autorità ha esteso il periodo orientativo di conservazione dei metadati da 7-9 giorni a 21 giorni.
Rispetto alla versione precedente alla consultazione pubblica, il Garante ora specifica che tale termine è “orientativo” e che la conservazione può essere estesa senza le garanzie previste dal comma 1 dell’art. 4 dello Statuto dei Lavoratori, a condizione che:
(i) la conservazione avvenga sempre nell’ambito della finalità di assicurare il funzionamento delle infrastrutture del sistema di posta elettronica, come previsto dal comma 2 dell’art. 4 della L. n. 300/1970;
(ii) l’estensione sia necessaria e adeguatamente comprovata, in applicazione del principio di responsabilizzazione previsto dall’art. 5, par. 2, del Regolamento.
Diversamente, il titolare del trattamento o datore di lavoro dovrà rispettare le procedure di garanzia previste dalla disciplina di settore (art. 4, comma 1, L. 300/1970).
Principi di Protezione dei Dati
Il titolare del trattamento deve adottare misure per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva dei dati, e la tracciatura degli accessi. I fornitori di servizi devono contribuire a garantire la conformità dei prodotti ai principi del GDPR, aiutando i titolari del trattamento a rispettare i loro obblighi di protezione dei dati. I lavoratori dovranno esser messi al corrente di tutte le caratteristiche del trattamento.
Il documento, infine, è particolarmente rilevante nell’applicazione dell’art. 25 del GDPR, soprattutto nel contesto delle soluzioni cloud. Nella parte finale, infatti, il Garante sottolinea che i fornitori di servizi di posta elettronica non sempre possono essere considerati semplici responsabili del trattamento dei dati personali, implicando precise responsabilità in termini di “privacy by design”.
In particolare, il Garante afferma che i fornitori devono contribuire affinché i titolari del trattamento possano adempiere ai loro obblighi di protezione dei dati, bilanciando le esigenze di mercato con la conformità al Regolamento. Inoltre, spetta ai titolari del trattamento verificare che i programmi e i servizi di posta elettronica, soprattutto quelli cloud o as-a-service, permettano di rispettare le normative sulla protezione dei dati, incluso il periodo di conservazione dei metadati.
I datori di lavoro, sia pubblici sia privati, dovranno adottare le misure necessarie per conformare i propri trattamenti alla disciplina della protezione dei dati e alle normative di settore, al fine di evitare di incorrere in sanzioni amministrative e penali. In particolare, sarà responsabilità del fornitore, quale titolare del trattamento, verificare che i programmi e i servizi informatici di gestione delle email utilizzati dai dipendenti – soprattutto se forniti come prodotti di mercato in modalità cloud o as-a-service – consentano al cliente (datore di lavoro) di rispettare la disciplina di protezione dei dati, inclusi i periodi di conservazione dei metadati