Metadati delle mail aziendali: le nuove indicazioni del Garante

Nell’odierna newsletter analizziamo il provvedimento del 6 giugno 2024 con cui il Garante Privacy ha approfondito il tema del trattamento dei metadati relativi alla posta elettronica aziendale, modificando in parte le indicazioni destinate alle aziende, dopo che la prima versione del provvedimento aveva suscitato molte preoccupazioni nel settore privato.

1. La normativa in materia

Anzitutto, il Garante precisa che il provvedimento in esame costituisce un mero documento di indirizzo, che approfondisce il tema della posta elettronica aziendale facendo riferimento alla normativa già in vigore, senza introdurre ulteriori prescrizioni per le aziende.

In particolare, l’Autorità per la protezione dei dati personali ricorda che tutte le aziende, nel selezionare e gestire gli strumenti informatici necessari allo svolgimento dell’attività lavorativa, devono rispettare quanto previsto:

• dall’art. 4 dello Statuto dei lavoratori (l. 300/1970), che subordina l’impiego di strumenti da cui potrebbe derivare un controllo a distanza del lavoratore ad un accordo sindacale o all’autorizzazione dell’Ispettorato del lavoro;
• dal GDPR (reg. UE 679/2016), a cui l’azienda deve costantemente conformarsi in relazione anche al trattamento dei dati dei lavoratori, il quale deve avvenire – ricorda il Garante – nel rispetto dei principi di liceità, di correttezza e trasparenza, di limitazione della conservazione, di privacy by design e di responsabilizzazione.

2. La definizione di metadato

Il Garante chiarisce in prima battuta cosa si intende per metadati: sono le informazioni registrate nei log generati dai server di gestione e smistamento della posta elettronica e dalle singole interazioni tra i diversi server e tra i server e gli account individuali da cui si inviano i messaggi.

Tali informazioni possono comprendere ad esempio gli indirizzi e-mail del mittente e del destinatario, gli indirizzi IP dei server o dei dispositivi coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi anche l’oggetto del messaggio spedito o ricevuto.

Tutti questi dati presentano la caratteristica di essere registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utilizzatore, non vanno dunque confusi con le informazioni contenute nel corpo dei messaggi di posta elettronica, che rimangono all’interno della casella di posta attribuita al singolo utente/lavoratore.

3. Il tempo di conservazione e l’informativa agli interessati

Il punto centrale del provvedimento è l’identificazione di un periodo adeguato di conservazione dei metadati.

Il Garante infatti sottolinea che l’azienda, in qualità di titolare del trattamento, deve verificare che sussista un idoneo presupposto di liceità del trattamento ancora prima di metterlo in atto; in questo caso in particolare bisognerà verificare il rispetto del già citato art. 4 dello Statuto dei Lavoratori, nonché delle disposizioni che vietano al datore di lavoro di raccogliere o comunque analizzare informazioni non rilevanti ai fini dell’attitudine professionale del lavoratore.

Il secondo comma dell’art. 4 dello Statuto afferma che non sono soggetti ad autorizzazione e ad accordi sindacali né gli strumenti di registrazione degli accessi e delle presenze, né gli strumenti utilizzati dai lavoratori per rendere la prestazione lavorativa.

Nel provvedimento il Garante, sposando una lettura restrittiva della norma, afferma che il comma 2 della disposizione citata può essere ritenuto applicabile in relazione ai metadati solamente se gli stessi sono conservati solo per pochi giorni; a titolo orientativo, l’Autorità afferma che tale conservazione non dovrebbe superare i 21 giorni, salvo specifiche necessità, che tuttavia dovranno essere adeguatamente valutate e conservate. In tutti gli altri casi (es. conservazione per due mesi senza motivazioni specifiche) dovranno essere esperite le garanzie previste dall’art. 4, comma 1, dello Statuto dei Lavoratori.

Tutti i titolari del trattamento vengono poi richiamati a informare con precisione i lavoratori circa le caratteristiche della raccolta e conservazione dei metadati in azienda.

Il fatto che il sistema di posta elettronica aziendale venga gestito da un soggetto esterno, come avviene nella stragrande maggioranza dei casi, non esonera il datore di lavoro dagli oneri di rispettare la normativa privacy: il titolare del trattamento deve infatti sincerarsi che ogni fornitore, in qualità responsabile del trattamento, rispetti a sua volta le previsioni del GDPR.

4. Indicazioni per le aziende

Il Garante dedica l’ultimo paragrafo del provvedimento alle indicazioni pratiche per le aziende.

Il primo onere dei titolari, come pocanzi detto, è quello di verificare che i servizi informatici di gestione della mail in uso ai dipendenti specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o “as a service” – consentano al datore di lavoro di rispettare la disciplina di protezione dei dati in relazione ai metadati, cioè, anzitutto, di impostare un meccanismo di cancellazione automatica dei dati dopo un certo periodo di tempo (pari appunto a massimo 21 giorni, salvo eventuali necessità).

Verificato che il fornitore dà la possibilità di limitare la conservazione, occorrerà implementare tali limitazioni e vigilare sul loro funzionamento, informare i lavoratori circa le caratteristiche del trattamento dei metadati, nonché dare contezza delle stesse nel registro dei trattamenti privacy della società.

Il Garante chiarisce infine che le indicazioni del provvedimento sono valide anche in ambito pubblico, con riferimento agli strumenti che le PA devono utilizzare per l’acquisto di beni e servizi.

Lo studio è a disposizione per qualsiasi chiarimento