Il Garante privacy fornisce nuove indicazioni sul trattamento dei metadati relativi alle email dei dipendenti

Il Garante per la protezione dei dati personali con il Provvedimento n. 364 del 6 giugno 2024, ha definito il nuovo documento di indirizzo concernente i programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo ed il trattamento dei metadati delle email dei dipendenti.

Il Provvedimento è stato aggiornato e modificato a seguito della consultazione pubblica di recente conclusa.

Il Garante precisa preliminarmente che il documento non reca prescrizioni né introduce nuovi adempimenti a carico dei titolari del trattamento ma intende offrire una ricostruzione sistematica delle disposizioni applicabili in tale specifico ambito, alla luce di talune precedenti decisioni dell’Autorità, al solo fine di richiamare l’attenzione su alcuni punti di intersezione tra la disciplina di protezione dei dati e le norme che stabiliscono le condizioni per l’impiego degli strumenti tecnologici nei luoghi di lavoro.

La definizione dei metadati

In primo luogo, il Garante ha precisato cosa intende per metadati relativi alla email.

Si tratta delle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni client (MUA = Mail User Agent).

Pertanto, questi metadati includono:

  • indirizzi email del mittente e del destinatario,
  • indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio,
  • gli orari di invio, di ritrasmissione o di ricezione,
  • la dimensione del messaggio,
  • la presenza e la dimensione di eventuali allegati,
  • l’oggetto del messaggio spedito o ricevuto (in relazione al sistema di gestione del servizio di posta elettronica utilizzato).

I metadati cui si riferisce il documento del Garante presentano la caratteristica di essere registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utilizzatore.

Le informazioni contenute nel c.d. Envelope

I metadati oggetto del provvedimento del Garante non vanno confusi con le informazioni contenute nei messaggi di posta elettronica nella loro corpo del messaggio o anche in essi integrate, a formare il cosiddetto envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici.

Pur essendo metadati registrati automaticamente nei log dei servizi di posta, tali metadati sono inseparabili dal messaggio, di cui fanno parte integrante e rimangono sotto il controllo esclusivo dell’utente. Ne consegue che le indicazioni contenute nel documento del Garante relativamente ai tempi di conservazione dei metadati così come definiti sopra, non riguardano:

  • i contenuti dei messaggi di posta elettronica,
  • le informazioni tecniche che ne fanno comunque parte integrante.

La liceità del trattamento

Va ricordato che l’art. 4 c. 1, della Legge 300/1970 (Statuto dei lavoratori) individua tassativamente le finalità (organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale) per le quali gli strumenti, dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere impiegati nel contesto lavorativo, stabilendo precise garanzie procedurali (ovvero un accordo sindacale o un’autorizzazione pubblica).

Tali garanzie non trovano invece applicazione “agli strumenti di registrazione degli accessi e delle presenze”, così come “agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” (art. 4, c. 2).

Tale disposizione introduce un’eccezione, rispetto al più restrittivo regime previsto dal comma 1, che, secondo il Garante, deve essere oggetto di stretta interpretazione, considerate le responsabilità anche sul piano penale che possono derivare dalla violazione del predetto quadro normativo.

Per l’applicabilità di tale eccezione anche ai metadati in discorso, l’attività di raccolta e conservazione dei soli metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, se riferite alle email dei dipendenti, potrà quindi essere effettuata, in base al provvedimento del Garante, di norma, per un periodo limitato a pochi giorni, che non dovrebbe comunque superare i 21 giorni.

L’eventuale conservazione per un termine leggermente più ampio potrà essere effettuata solo in presenza di particolari condizioni che ne rendano necessaria l’estensionecomprovando adeguatamente, in applicazione del principio di accountability previsto dall’art. 5, par. 2, del GDPR, le specificità della realtà tecnica e organizzativa del Titolare.

Spetta in ogni caso al Titolare adottare tutte le misure tecniche ed organizzative per:

  • assicurare il rispetto del principio di limitazione della finalità
  • l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti
  • la tracciatura degli accessi effettuati.

Al contrario, l’opzione di una raccolta e conservazione dei log di posta elettronica riferiti alle email dei dipendenti, per un lasso di tempo più esteso, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, Legge 300/1970.

Anche tale conservazione dovrà avvenire nel rispetto del principio di limitazione della conservazione.

Principi di protezione dei dati fin dalla progettazione e per impostazione predefinita 

Il Garante privacy rammenta che il Titolare del trattamento, anche quando utilizza prodotti o servizi realizzati da terzi, deve verificare la conformità ai principi applicabili al trattamento dei dati (art. 5 GDPR) adottando, nel rispetto del principio di responsabilizzazione, le opportune misure tecniche e organizzative e impartendo le necessarie istruzioni al fornitore del servizio.

I datori di lavoro pubblici e privati dovranno quindi adottare le misure necessarie a conformare i propri trattamenti alla disciplina di protezione dati e a quella di settore: in particolare, spetta al Titolare del trattamento verificare che i programmi e servizi informatici di gestione delle email in uso ai dipendenti – specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service – consentano al cliente (datore di lavoro) di rispettare la disciplina di protezione dei dati nei termini indicati nel presente documento di indirizzo anche con riguardo al periodo di conservazione dei metadati.