Vi informiamo che con il provvedimento del 6 giugno 2024, n. 364, il Garante per la protezione dei dati personali è tornato sulla questione relativa al trattamento dei metadati di posta elettronica nel contesto lavorativo, all’esito della consultazione pubblica che la stessa Autorità aveva aperto a seguito delle discussioni e perplessità insorte dopo la pubblicazione della precedente versione del documento di indirizzo.
Il Garante ha deliberato di adottare una versione aggiornata del documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, che a sua volta pone rilevanti ed urgenti problemi interpretativi ed adempimenti.
Il Garante precisa che il “documento … intende offrire una ricostruzione sistematica delle disposizioni applicabili in tale specifico ambito, alla luce di talune precedenti decisioni dell’Autorità, al solo fine di richiamare l’attenzione su alcuni punti di intersezione tra la disciplina di protezione dei dati e le norme che stabiliscono le condizioni per l’impiego degli strumenti tecnologici nei luoghi di lavoro.
In questa prospettiva l’Autorità intende altresì fornire ai datori di lavoro indicazioni in ordine alla possibilità di trattare tali informazioni per consentire il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica, comprese le essenziali garanzie di sicurezza informatica, senza necessità di attivare la procedura di garanzia prevista dall’art. 4, comma 1, l. 20/5/1970, n. 300, espressamente richiamata dall’art. 114 del Codice“.
In estrema sintesi, l’Autorità:
- ha ribadito “il rischio che programmi e servizi informatici per la gestione della posta elettronica, anche qualora commercializzati da fornitori in modalità cloud, possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti, conservando gli stessi per un esteso arco temporale“;
- ha specificato che:
- i metadati sono “informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client“;
- si tratta quindi di “informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto“;
- i metadati cui ci si riferisce “presentano la caratteristica di essere registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utilizzatore” e “non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” … a formare il cosiddetto envelope…“;
- “Pertanto le indicazioni contenute nel documento relativamente ai tempi di conservazione dei metadati come sopra definiti non riguardano i contenuti dei messaggi di posta elettronica … che rimangono nella disponibilità dell’utente/lavoratore, all’interno della casella di posta elettronica attribuitagli“.
Il Provvedimento richiede, come detto, rilevanti analisi, valutazioni ed attività applicative/adempimenti da effettuare in tempi stretti (ad es. un’attenta verifica della situazione e dei sistemi in atto, eventuali cessazioni/disattivazioni dei trattamenti/sistemi non conformi, eventuali procedure di garanzia di cui all’art. 4 l. 300/70, specifiche informative, DPIA, ecc. strettamente rapportate alla situazione di ciascuna azienda in un’ottica di accountability e di privacy by design e by default), tenuto conto anche della gravità delle conseguenze in caso di violazione delle norme in materia.
Il provvedimento sopra citato è scaricabile dal sito associativo all’interno dell’area download “Garante privacy”.
Le Imprese non ancora registrate potranno procedere alla preventiva iscrizione attraverso la modalità promozionale proposta sulla pagina Iscriviti! del sito ANCE Genova.