Il Garante per la protezione dei dati personali è tornato sul tema della conservazione dei metadati, adottando una versione aggiornata del Documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati.”
Con Provvedimento dello scorso 21 dicembre 2023, il Garante per la protezione dei dati personali, infatti, era intervenuto in materia di gestione della posta elettronica in ambito lavorativo, fornendo nuove indicazioni utili a prevenire violazioni della normativa in materia di protezione dei dati personali, nonché delle norme giuslavoristiche in materia di controllo a distanza dei lavoratori.
Tale documento aveva, però, sollevato diversi dubbi interpretativi circa i criteri per determinare il periodo di conservazione dei metadati generati dall’uso della posta elettronica nell’ambito lavorativo.
L’Autorità aveva allora avviato a distanza di poche settimane dalla pubblicazione del documento di indirizzo una consultazione pubblica tra esperti di protezione dati e responsabili aziendali. A seguito della stessa, il Garante ha adottato un nuovo Provvedimento n. 364 del 6 giugno 2024, con cui aggiorna il documento di indirizzo.
Rispetto alla versione precedente, nel nuovo Documento il Garante chiarisce – anzitutto – cosa debba intendersi con il termine metadati, ossia informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni client (MUA = Mail User Agent)”.
In altri termini, i metadati includono: indirizzi e-mail di mittente e destinatario, indirizzi IP dei server o client coinvolti, orari di invio, ritrasmissione o ricezione, dimensione del messaggio, presenza e dimensione di eventuali allegati e, a volte, l’oggetto del messaggio.
il Garante ha poi precisato che, la raccolta e conservazione dei metadati e log necessari per il funzionamento del sistema di posta elettronica è consentita per un periodo limitato a pochi giorni, e comunque non oltre i 21 giorni, salvo dimostrati casi particolari, in quanto la conservazione per un periodo (più) esteso, potrebbe potenzialmente determinare un indiretto controllo a distanza dell’attività dei lavoratori, richiedendo perciò le garanzie previste dall’art. 4, comma 1 dello statuto dei lavoratori.
Infine, il Garante sottolinea che spetterà al titolare del trattamento verificare con la dovuta diligenza che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service – consentano all’utente/cliente cioè datore di lavoro, di poter modificare le impostazioni di default, impedendo la raccolta dei metadati o limitandola, anche tenuto conto della previsione di cui al periodo di conservazione
Per saperne di più sul tema, sulla formazione o sui servizi:
Ufficio Legale & Privacy
Giulia Gualandi
Susanna Viggiani
email – Privacy@assimprese.bo.it
Telefono – 051 5288615
