News | Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati
Il Garante per la protezione dei dati personali ha pubblicato venerdì 14 giugno 2024 il “Provvedimento del 6 giugno 2024 – Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”. Il documento, atteso da tempo, tiene conto dell’esito della consultazione pubblica avviata dalla stessa Autorità.
Il Garante fa riferimento a “metadati di posta elettronica” o “log di posta elettronica” intendendo quelli “che presentano la caratteristica di essere registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utilizzatore” e definiti come “informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi [che] possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto”.
L’Autorità ha deciso di intervenire su questa materia perché ha rilevato un rischio: programmi e servizi informatici per la gestione della posta elettronica, soprattutto quando commercializzati in modalità cloud, possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti, conservando gli stessi per un esteso arco temporale; tale circostanza potrebbe comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiedendo, quindi, l’esperimento delle garanzie previste dall’art. 4, comma 1, della Legge n. 300/1970 (“Statuto dei Lavoratori”).
L’Autorità, con il recente provvedimento, ha esteso a 21 giorni (originariamente si parlava di 7-9 giorni) il periodo orientativo di data retention di tali metadati (anche se non sono noti gli elementi che hanno portato l’Autorità a decidere per tale durata).
Rispetto alla precedente versione del provvedimento, il Garante riconosce ora che i 21 giorni sono un termine “orientativo” e che sarebbe possibile estenderlo senza la necessità di espletare le garanzie di cui al comma 1 dell’art. 4 dello Statuto dei Lavoratori (accordo sindacale o autorizzazione amministrativa della ITL) , qualora la conservazione avvenga: (1) “sempre nell’ambito della predetta finalità (assicurare il funzionamento delle infrastrutture del sistema della posta elettronica), a cui risulta applicabile il comma 2 dell’art. 4 della L. n. 300/1970” e (2) “solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente, in applicazione del principio di accountability previsto dall’art. 5, par. 2, del Regolamento, le specificità della realtà tecnica e organizzativa del titolare”. Spetta in ogni caso al titolare adottare tutte le misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati.
In caso contrario, il titolare del trattamento/datore di lavoro sarà invece tenuto ad espletare le procedure di garanzia previste dall’art. 4, co.1, L. 300/1970.
Alla luce di questo nuovo provvedimento consigliamo di:
- verificare se i citati log vengono conservati e per quanto tempo;
- verificare che i programmi e i servizi informatici di gestione della posta elettronica consentano di modificare le impostazioni di base, limitando il periodo di conservazione degli stessi.
- valutare con la propria funzione IT la congruità del nuovo limite di conservazione fissato orientativamente in 21 giorni ovvero individuare le eventuali particolari condizioni che ne rendano necessaria l’estensione;
Dopo aver fatto tali valutazioni vi consigliamo di contattare il vs. consulente SIQUAM per verificare gli adempimenti privacy che si rendono necessari (in primis una informativa sul trattamento di dati personali da rilasciare ai lavoratori).
Comments are closed.