Con il Provvedimento n. 364 del 2024 (Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”), pubblicato il 6 giugno 2024, il Garante per la protezione dei dati personali – come atteso – è tornato ad esprimersi sull’utilizzo in azienda dei programmi e servizi informatici per la gestione della posta elettronica in modalità cloud al termine della consultazione pubblica aperta il 22 febbraio 2024.
Il Garante ha chiarito che per “metatadati” in senso stretto devono intendersi unicamente le informazioni registrate automaticamente nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA – Mail Transport Agent) e dalle postazioni client (MUA – Mail User Agent) come, ad esempio, gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server, gli orari di invio o ricezione, dimensione del messaggio e presenza dimensione allegati, oggetto del messaggio. Questi metadati vengono registrati automaticamente dai sistemi di posta elettronica indipendentemente dalla volontà o percezione dell’utilizzatore.
I metadati che precedono non vanno, in alcun modo, confusi con le informazioni contenute nel corpo del messaggio di posta elettronica o in esso integrate in modo da formare il c.d. “envelope”, cioè l’insieme delle informazioni di natura tecnica, che documentano l’instradamento del messaggio, la sua provenienza e i parametri tecnici, che non possono esser separate dal messaggio di cui fanno parte integrante. Queste ultime informazioni rimangono nella disponibilità e sotto il controllo dell’utente (lavoratore) all’interno della casella di posta attribuitagli.
Solo i primi metadati / log risultano soggetti all’ambito di applicazione del Provvedimento del Garante.
Su questa premessa, il Garante ha esteso il periodo temporale di raccolta e conservazione dei metadati/log (necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica) rispetto al termine originariamente previsto di 7 giorni (+ eventuali 48 ore), portandolo ad un termine non superiore “a titolo orientativo” a 21 giorni, tenuto conto dell’esito di valutazioni tecniche e nel rispetto del principio di accountability del titolare del trattamento.
Il rispetto di questo termine di conservazione consente l’adozione del programma di gestione della posta elettronica senza necessità di accordo sindacale o autorizzazione dell’Ispettorato del Lavoro, poiché in tal modo è possibile usufruire dell’eccezione prevista dall’art. 4, comma 2, della Legge 300/1970 (“La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze”).
Sempre nell’ambito della predetta finalità (assicurare il funzionamento delle infrastrutture del sistema della posta elettronica), l’eventuale conservazione per un termine ancora più ampio potrà essere effettuata, solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente, in applicazione del principio di accountability previsto dall’art. 5, par. 2, del GDPR, le specificità della realtà tecnica e organizzativa del titolare. Spetterà in ogni caso al titolare adottare tutte le misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati.
Pertanto, la generalizzata raccolta e la conservazione dei log di posta elettronica, per un lasso di tempo più esteso, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiederà, per contro, l’esperimento delle garanzie previste dall’art. 4, comma 1, della Legge 300/1970 (accordo sindacale o autorizzazione dell’Ispettorato).
Il Garante richiama infine i principi fondamentali del trattamento dei dati che dovranno – in ogni caso – essere rispettati dal titolare del trattamento, in particolare: (i) liceità del trattamento; (ii) correttezza e trasparenza, secondo cui i lavoratori dovranno ricevere un’adeguata informativa sul trattamento dei loro dati personali; (iii) limitazione della conservazione; (iv) protezione dei dati fin dalla progettazione e per impostazione predefinita e “responsabilizzazione”, secondo cui il titolare dovrà adottare misure volte ad assicurare il rispetto di tali principi durante l’intero ciclo di vita dei dati, incorporando nel trattamento le misure e le garanzie adeguate ad assicurare l’efficacia dei principi di protezione dei dati, dei diritti e delle libertà degli interessati.
Spetterà in definitiva ai titolari del trattamento verificare che i programmi e servizi informatici di gestione della posta elettronica in uso ai lavoratori – specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service – consentano di rispettare la disciplina di protezione dei dati nei termini indicati nel documento di indirizzo del Garante, anche con riguardo al periodo di conservazione dei metadati.