Con il provvedimento di indirizzo n. 364 del 6 giugno 2024 il Garante Privacy torna ad esprimersi sulla questione relativa alla conservazione dei metadati delle caselle e-mail in uso ai dipendenti, all’esito della consultazione pubblica avviata nello scorso febbraio.
Innanzitutto, il Garante Privacy chiarisce il significato di metadati di posta elettronica (o log di posta elettronica), specificando come gli stessi non debbano confondersi con il corpo del messaggio di posta elettronica e le parti ad esso integrate, che rimangono sotto l’esclusivo controllo dell’utente (sia esso il mittente o il destinatario dei dati).
I metadati di posta elettronica di cui invece si occupa il provvedimento di indirizzo corrispondono alle informazioni registrate automaticamente dai sistemi di posta elettronica per la gestione, smistamento e recapito del messaggio di posta.
Più nel dettaglio, tali informazioni possono comprendere:
- Indirizzi e-mail del mittente e del destinatario;
- Indirizzi IP dei server o dei client coinvolti;
- Orario di invio, ritrasmissione e ricezione del messaggio;
- Dimensioni del messaggio;
- Presenza e dimensione di eventuali allegati;
- Oggetto del messaggio.
Chiarito l’oggetto del documento è importante capire quali indicazioni il Garante Privacy fornisce ai datori di lavoro pubblici e privati per il corretto trattamento di tali dati personali.
Ebbene, il provvedimento offre una ricostruzione della normativa vigente e fornisce indicazioni in ordine alla possibilità di trattare le informazioni per consentire il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica, senza necessità di attivare le procedure di garanzia previste dall’art. 4 dello Statuto dei Lavoratori (accordo sindacale o autorizzazione dell’Ispettorato del Lavoro).
In primo luogo, è necessario che i lavoratori siano adeguatamente informati sul complessivo trattamento effettuato da parte del datore di lavoro, ivi compreso il trattamento relativo alle comunicazioni elettroniche le li riguardano.
Inoltre, sarà necessario coinvolgere i fornitori di servizi informatici di gestione della posta elettronica dei dipendenti al fine di comprendere i tempi di conservazione dei metadati di posta elettronica ed eventualmente modificare le impostazioni predefinite, limitando i tempi di conservazione a pochi giorni, in ogni caso non superiori a 21 giorni. Tale periodo, infatti, è stato ritenuto dal Garante congruo per assicurare il funzionamento delle infrastrutture del sistema della posta elettronica.
Nel caso in cui tali termini di conservazione siano superiori spetta al Titolare del trattamento giustificare le prassi adottate sulla base di specifiche esigenze tecniche e organizzative e valutare se i trattamenti che intende realizzare presentino un elevato rischio per i diritti e le libertà degli interessati che rendano necessario lo svolgimento di una valutazione di impatto.
In merito, preme precisare che le indicazioni fornite a livello europeo sul punto ritengono che in caso di raccolta e memorizzazione di log di posta elettronica tale necessità ricorra, considerata la particolare “vulnerabilità” dei soggetti interessati nel contesto lavorativo, oltre che il rischio di “monitoraggio sistematico” dei lavoratori da parte dei datori di lavoro.
Tale documento di indirizzo, dunque, non solo pone le basi per una maggiore consapevolezza dei datori di lavoro, ma anche per una maggiore responsabilizzazione dei fornitori di servizi informativi di gestione della posta elettronica, che probabilmente d’ora in avanti dovranno consentire la personalizzazione dei tempi di conservazione dei metadati da parte dei propri clienti.