NAM
Aggiornato il documento di indirizzo del Garante datato dicembre 2023 e riguardante i software e servizi informatici per la gestione della posta elettronica in azienda: ecco le novità.
È datato dicembre 2023 il provvedimento in cui il Garante privacy italiano ha evidenziato i rischi associati ai programmi e ai servizi informatici per la gestione della posta elettronica, segnalando la possibilità di una raccolta indiscriminata di metadati. Il 6 giugno 2024 tale documento è stato aggiornato in seguito ad una consultazione popolare indetta proprio dal Garante (ne abbiamo parlato qui). Le modifiche apportate riguardano principalmente:
- Il periodo di conservazione dei metadati
- Chiarimenti in merito alla definizione di metadato
Normativa di riferimento
La raccolta e il trattamento dei metadati di posta elettronica devono avvenire nel rispetto della normativa sulla protezione dei dati personali (GDPR), che stabilisce tra le altre cose che il contenuto dei messaggi e i relativi metadati siano protetti da garanzie di segretezza. Questo implica l’obbligo per i datori di lavoro, nonché titolari del trattamento, di verificare la sussistenza di idonei presupposti di liceità prima di trattare i dati personali dei lavoratori.
I metadati e i limiti alla conservazione
Nella precedente versione del provvedimento, con metadati si intendevano tutte le informazioni utili a identificare e tracciare l’e-mail (data, ora, mittente, destinatario, oggetto e dimensione).
La definizione aggiornata e più precisa presente nel nuovo provvedimento specifica che per metadati si intendono invece solo i dati registrati automaticamente dai sistemi di posta elettronica.
Sono quindi escluse tutte le informazioni contenute nel corpo dell’email e nel cosiddetto “envelope”, cioè l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici.
Nell’aggiornamento il Garante suggerisce che la conservazione dei metadati così come sopra definiti dovrebbe essere limitata a pochi giorni, generalmente non oltre i 21 giorni (a differenza dei 7 giorni precedentemente stabiliti), salvo particolari necessità che giustifichino un periodo più lungo. Questa conservazione deve inoltre rispettare il principio di limitazione della finalità e garantire che solo i soggetti autorizzati abbiano accesso a tali dati.
Nell’aggiornamento è specificato anche che la conservazione prolungata dei log di posta elettronica potrebbe costituire una forma di controllo a distanza dell’attività dei lavoratori, richiedendo quindi le garanzie procedurali previste dall’art. 4 della legge 300/1970.
Responsabilità dei datori di lavoro
Il documento di indirizzo del Garante evidenzia l’importanza di riflettere su quanto la raccolta e la conservazione dei metadati avvengano a prescindere dalla volontà degli utilizzatori dei servizi, e quanto queste informazioni (anche se non riguardano i contenuti dei messaggi) possano rivelare dettagli rilevanti e sensibili sulle attività dei dipendenti.
Di conseguenza i datori di lavoro sia pubblici sia privati devono assicurare la liceità del trattamento dei dati, adottando misure tecniche e organizzative adeguate. In particolare, spetta loro verificare che i programmi e servizi informatici di posta elettronica in uso, anche quando si utilizzano prodotti/servizi realizzati da terzi, gli consentano di rispettare le disposizioni del provvedimento.
Il documento sottolinea quindi l’importanza di una gestione responsabile e trasparente dei metadati di posta elettronica nel contesto lavorativo, chiarendo che il ruolo dei datori di lavoro è quello di adottare un approccio che bilanci le esigenze operative con il rispetto della privacy dei lavoratori. In questo modo si può garantire che i trattamenti siano sempre leciti, proporzionati e trasparenti, proteggendo la privacy degli utilizzatori anche in un ambiente digitale sempre più complesso.
Consulta qui il provvedimento integrale
