Provvedimento del Garante privacy 6 giugno 2024, n. 364
Premessa
Con il Provvedimento 6 giugno 2024, n. 364, il Garante per la protezione dei dati personali ha adottato il nuovo documento di indirizzo sui “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, che modifica e sostituisce il precedente Provvedimento 21 dicembre 2023, n. 642 sulla conservazione dei cc.dd. “metadati” generati e raccolti dai sistemi di posta elettronica.
L’obiettivo del Provvedimento è quello di sensibilizzare e “responsabilizzare” i datori di lavoro sui trattamenti aventi a oggetto i metadati e, in particolare, sui relativi tempi di conservazione da parte dei fornitori.
Nozione di metadati oggetto del Provvedimento
Il Provvedimento riguarda le informazioni registrate nei log di trasporto, vale a dire le informazioni relative alle operazioni di invio, ricezione e smistamento dei messaggi, generate e registrate automaticamente dal sistema di posta elettronica e concernenti il funzionamento del servizio infrastrutturale.
In sostanza, i log di trasporto costituiscono una “copia” dei dati contenuti nei messaggi di posta elettronica (e dei log delle relative envelope), elaborata e conservata a prescindere dalla percezione e dalla volontà dell’utilizzatore e funzionale esclusivamente al corretto funzionamento e al regolare utilizzo del sistema di posta, comprese le essenziali garanzie di sicurezza informatica.
L’Autorità ha, poi, specificato che i metadati oggetto del Provvedimento non vanno confusi con le informazioni contenute nel corpo dei messaggi di posta elettronica o con quelle che compongono l’envelope. Queste ultime, infatti, sebbene corrispondenti a metadati registrati automaticamente nei log dei servizi di posta, sono inscindibili dal messaggio di cui sono parte integrante e, pertanto, ne seguono la sorte all’interno della casella di posta elettronica assegnata al lavoratore, restando nella sua disponibilità e sotto il suo esclusivo controllo.
Trattamento dei log di trasporto
Il Garante privacy ha ribadito come la raccolta e la conservazione dei log di trasporto possano considerarsi attività necessarie ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica e, quindi, lecite ex art. 4, co. 2 dello Statuto dei lavoratori, solo se realizzate per un arco temporale limitato. Diversamente, la raccolta e la conservazione dei log perpetuate per un lasso di tempo esteso, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie stabilite dall’art. 4, co. 1 dello Statuto dei lavoratori (autorizzazione dell’Ispettorato territoriale del lavoro, cc.dd. ITL, o accordo con la RSA/RSU). In questi casi, infatti, ad avviso dell’Autorità, la conservazione dei log non sarebbe più funzionale ad assicurare la prestazione dell’attività lavorativa e, quindi, non rientrerebbe nell’ambito applicativo dell’art. 4, co. 2 dello Statuto dei lavoratori.
L’Autorità garante ha indicato un termine di conservazione dei log di trasporto, pari a 21 giorni, precisando che si tratta di una indicazione fornita a titolo orientativo, potendo infatti il datore di lavoro stabilirne uno più ampio in applicazione del principio di accountability.
In particolare, il Provvedimento consente al datore di lavoro di prevedere, restando sempre nell’ambito dell’art. 4, co. 2 dello Statuto dei lavoratori e, quindi, nella finalità di assicurare il funzionamento dell’infrastruttura di posta elettronica, un termine di conservazione dei metadati più esteso a condizione che sussistano comprovate esigenze tecniche e organizzative.
Pertanto, si suggerisce – specialmente nel caso in cui si utilizzino prodotti di mercato forniti in modalità cloud o as-a-service – di conformare il trattamento dei metadati agli indirizzi indicati dall’Autorità.
A titolo indicativo e non esaustivo, si consiglia di:
a) verificare i tempi di conservazione dei metadati di trasporto praticati dai propri fornitori (che andranno opportunatamente specificati nell’atto di nomina a responsabile del trattamento);
b) fornire ai lavoratori una informativa chiara sul trattamento dei dati personali relativi alle comunicazioni elettroniche che li riguardano, ad esempio, aggiornando, anche ai fini dell’art. 4, co. 3 dello Statuto dei lavoratori, le informative e/o le policy e/o i regolamenti interni sull’utilizzo della posta elettronica aziendale.
c) effettuare/aggiornare la DPIA, documentando altresì le esigenze tecniche e organizzative che giustificano, ex art. 4, co. 2 dello Statuto dei lavoratori, l’individuazione di un termine di conservazione dei log di trasporto superiore ai 21 giorni e aggiornando il registro delle attività di trattamento;
d) adottare tutte le misure tecniche e organizzative per garantire il rispetto della normativa sulla protezione dei dati personali e di quella di settore.