Con il provvedimento n. 364 del 6 giugno 2024, il Garante ha adottato una versione aggiornata del documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”.
La prima versione del documento
Il Garante per la protezione dei dati personali, con il provvedimento n. 642 del 21 dicembre 2023, reso noto il 6 febbraio 2024 ha adottato una prima versione del documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati”.
Questo documento nasceva a seguito di accertamenti effettuati dall’Autorità dai quali è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail).
In alcuni casi era emerso anche che i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione.
Con questo (primo) documento il Garante chiedeva quindi ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione ad un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore.
Periodo considerato congruo, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore.
Ne consegue che entro al massimo 9 giorni “periodo considerato congruo, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore”, ritiene il Garante, i datori di lavoro dovranno eliminare tali dati.
I datori di lavoro che per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare (in particolare, ad esempio, per specifiche esigenze di sicurezza dei sistemi) avessero necessità di trattare i metadati per un periodo di tempo più esteso, dovranno espletare le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro). L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore.
Tale periodo, scelto dal Garante, ha suscitato non poche perplessità.
Per rispondere alle numerose richieste di chiarimenti ricevute, il Garante ha deciso di differire l’efficacia del documento di indirizzo e promuovere una consultazione pubblica di 30 giorni sulle forme e modalità di utilizzo che renderebbero necessaria una conservazione dei metadati superiore a quella ipotizzata nel documento di indirizzo.
La consultazione pubblica riguarda proprio la congruità del termine dei metadati degli account dei servizi di posta elettronica dei lavoratori (giorno, ora, mittente, destinatario, oggetto, dimensione dell’e-mail). I datori di lavoro pubblici e privati, esperti della disciplina di protezione dei dati e tutti i soggetti interessati hanno avuto a disposizione 30 giorni, a partire dalla pubblicazione in Gazzetta ufficiale, per inviare al Garante le proprie osservazioni, i commenti, le informazioni, le proposte e tutti gli elementi ritenuti utili.
La versione “aggiornata” a seguito della consultazione pubblica
Una delle finalità della versione aggiornata è proprio quella di: “di fornire indicazioni anche in merito ai criteri che possano orientare le scelte dei datori di lavoro nell’individuazione dell’eventuale periodo di conservazione dei predetti log, ai fini dell’applicazione dell’eccezione contenuta nell’art. 4, comma 2, della l. 20 maggio 1970, n. 300 rispetto alla regola di cui al comma 1, per assicurare il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica, comprese le essenziali garanzie di sicurezza informatica”.
Il provvedimento aggiornato affronta il tema della limitazione della conservazione stabilendo che: “I tempi di conservazione dei metadati devono in ogni caso essere proporzionati rispetto alle legittime finalità perseguite.
In particolare, finalità connesse alla sicurezza informatica e alla tutela del patrimonio informatico giustificano la conservazione dei metadati per un arco temporale congruo rispetto all’obiettivo di rilevare e mitigare eventuali incidenti di sicurezza, adottando tempestivamente le opportune contromisure.
Ove i tempi di conservazione non siano definiti in maniera proporzionata alle finalità del trattamento, il titolare del trattamento può incorrere nella violazione del principio di “limitazione della conservazione” (art. 5, par. 1, lett. e), del Regolamento)”.
Questo articolo ti è stato utile?
Consulta le nostre sezioni dedicate al Regolamento 679/2016 (GDPR) e privacy e al supporto alle stazioni appaltanti. Puoi anche iscriverti alla nostra newsletter e non perdere le notizie più importanti in tema di Appalti, anticorruzione, digitalizzazione della PA e D.Lgs. 231 responsabilità delle persone giuridiche. Non preoccuparti, saremo moderati. Anche noi odiamo lo SPAM.