In seguito a un'attenta valutazione delle risposte ricevute durante la consultazione pubblica, il Garante per la Protezione dei Dati Personali ha rilasciato linee guida aggiornate sulla conservazione dei metadati della posta elettronica. Questo documento di indirizzo rivisto affronta questioni cruciali e offre chiarimenti essenziali per garantire la conformità alle normative sulla privacy nel contesto lavorativo.

Chiarimenti sulla Definizione di "Metadati"

Una delle principali novità introdotte dal Garante riguarda la definizione più precisa di "metadati" nel contesto della posta elettronica. Viene esplicitamente sottolineato che i metadati non devono essere confusi con le informazioni contenute nel corpo del messaggio di posta elettronica. Tecnicamente, i metadati sono informazioni registrate automaticamente nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA - Mail Transport Agent) e dalle postazioni client (MUA - Mail User Agent). Esempi di metadati includono indirizzi email di mittente e destinatario, indirizzi IP dei server o client coinvolti, orari di invio, ritrasmissione o ricezione, dimensione del messaggio, presenza e dimensione di eventuali allegati e, in alcuni casi, l'oggetto del messaggio. Questi dati vengono registrati indipendentemente dalla volontà dell'utente e sono inscindibili dal messaggio di cui fanno parte integrante, pur rimanendo sotto il controllo esclusivo dell'utente.

L'Envelope dei Metadati

Il Garante spiega che i metadati formano il cosiddetto "envelope", ovvero l'insieme delle intestazioni tecniche strutturate che documentano l'instradamento del messaggio, la sua provenienza e altri parametri tecnici. Nonostante i metadati siano registrati automaticamente nei log dei servizi di posta, sono considerati parte integrante del messaggio e rimangono sotto il controllo esclusivo dell'utente, sia esso il mittente o il destinatario.

Aspetti Giuslavoristici e Controllo a Distanza

In materia giuslavoristica, il Garante chiarisce che la raccolta e conservazione dei metadati necessari per il funzionamento del sistema di posta elettronica è consentita, ma per un periodo limitato a pochi giorni, non oltre i 21 giorni, salvo casi particolari debitamente motivati. Tuttavia, una conservazione generalizzata dei log di posta elettronica per un periodo più esteso potrebbe configurarsi come un indiretto controllo a distanza dell'attività dei lavoratori, richiedendo quindi le garanzie previste dall'art. 4, comma I, dello Statuto dei Lavoratori.

Normativa Applicabile

Il documento di indirizzo richiama la normativa pertinente, tra cui:

• Le "Linee guida del Garante per posta elettronica e Internet" del 1° marzo 2007, n. 13

• I principi fondanti del GDPR, inclusi la liceità del trattamento (artt. 5, par. 1, lett. a), e 6), la sussistenza dei presupposti di liceità giuslavoristici (art. 4 della l. 20 maggio 1970, n. 300), e il divieto di acquisire e trattare informazioni non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore o afferenti alla sua sfera privata (art. 8 della l. 20 maggio 1970, n. 300 e art. 10 d.lgs. 10 settembre 2003, n. 276)

• Il rispetto dei principi generali del GDPR (artt. 5, 24 e 25) e degli adempimenti previsti dalle disposizioni normative (artt. 12, 13, 14, 30, 32 e 35)

• L'attuazione del principio di "accountability" e la valutazione di impatto sulla protezione dei dati personali (cons. 90 e artt. 35 e 36 del GDPR)

• Le linee guida concernenti la valutazione di impatto sulla protezione dei dati (WP 248 del 4 aprile 2017)

Conservazione dei Metadati e Controlli a Distanza

Il documento di indirizzo stabilisce che la conservazione dei metadati non dovrebbe superare i 21 giorni, al fine di evitare un indiretto controllo a distanza dell'attività dei lavoratori. Tuttavia, in presenza di particolari condizioni che rendano necessaria un'estensione, il titolare del trattamento deve comprovare adeguatamente le specificità della realtà tecnica e organizzativa. In caso di un'estensione ulteriore di 48 ore, il titolare deve adottare tutte le misure tecniche e organizzative per assicurare il rispetto del principio di limitazione della finalità, l'accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti, e la tracciatura degli accessi effettuati.

Responsabilità dei Datori di Lavoro

I datori di lavoro, sia del comparto pubblico che di quello privato, potrebbero incorrere in responsabilità per illiceità del trattamento qualora conservino oltremodo i metadati, in assenza delle garanzie previste (accordo sindacale) e senza fornire un'adeguata informazione sulle modalità d'uso degli strumenti e di effettuazione dei controlli. La generalizzata raccolta e conservazione dei metadati relativi all'utilizzo della posta elettronica da parte dei dipendenti, per un periodo di tempo esteso e in assenza di idonei presupposti giuridici, potrebbe comportare l'acquisizione di informazioni riferite alla sfera personale o alle opinioni dell'interessato, non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore.

Violazione dei Principi di Correttezza e Trasparenza

Il Garante sottolinea l'importanza del rispetto dei principi di correttezza e trasparenza nei confronti dei lavoratori. È essenziale che gli interessati siano resi pienamente consapevoli delle caratteristiche complessive del trattamento, specificando i tempi di conservazione dei dati, gli eventuali controlli e altre informazioni pertinenti.

Principio della Data Retention

Per quanto riguarda i tempi di conservazione dei metadati, il Garante ribadisce l'importanza delle finalità connesse alla sicurezza informativa e informatica, considerando la tutela del patrimonio aziendale. L'obiettivo principale è quello di rilevare e mitigare eventuali incidenti di sicurezza, adottando tempestivamente le opportune contromisure.

Privacy by Design e by Default

Il documento di indirizzo evidenzia l'importanza dei principi di privacy by design e by default nel contesto della conservazione dei metadati di posta elettronica. Il datore di lavoro/titolare del trattamento deve accertarsi che siano disattivate le funzioni non compatibili con le proprie finalità del trattamento o che si pongono in contrasto con norme di settore specifiche, ad esempio commisurando adeguatamente i tempi di conservazione dei dati o chiedendo al fornitore del servizio di anonimizzare i metadati raccolti nei casi in cui non si intenda effettuare una conservazione più prolungata. Inoltre, i produttori dei servizi e delle applicazioni devono tenere conto del diritto alla protezione dei dati conformemente allo stato dell'arte, contribuendo a far sì che i titolari del trattamento possano adempiere ai loro obblighi di protezione dei dati.

Iniziative di Compliance per i Datori di Lavoro

Il Garante sottolinea l'importanza delle iniziative di compliance per i datori di lavoro, sia pubblici che privati. Spetterà ai titolari del trattamento verificare che i programmi e servizi informatici di gestione della posta elettronica consentano di modificare le impostazioni di default, impedendo la raccolta dei metadati o limitandola, tenendo conto del periodo di conservazione massimo previsto. Queste indicazioni sono valide anche nel caso in cui, in ambito pubblico, i programmi e servizi informatici siano acquistati mediante le convenzioni/piattaforme che le pubbliche amministrazioni devono o possono utilizzare per l'acquisto di beni e servizi. Nel contesto del cloud, il Garante fa riferimento alle indicazioni contenute nel report "2022 Coordinated Enforcement Action Use of cloud-based services by the public sector" del Comitato europeo.

Conclusioni

Il documento di indirizzo aggiornato del Garante per la Protezione dei Dati Personali offre chiarimenti cruciali sulla conservazione dei metadati di posta elettronica nel contesto lavorativo. Sottolinea l'importanza del rispetto dei principi di correttezza, trasparenza e accountability, nonché l'adozione di misure tecniche e organizzative adeguate. Una delle novità più interessanti riguarda il ruolo dei provider di posta elettronica, che non possono essere considerati semplici responsabili del trattamento, ma hanno precise responsabilità in termini di privacy by design. Questo aspetto assume particolare rilevanza nel contesto del cloud computing, dove la distinzione tra titolare e responsabile del trattamento può diventare meno netta. I datori di lavoro, sia pubblici che privati, sono chiamati ad adottare tutte le misure necessarie per conformarsi alle linee guida aggiornate, verificando attentamente le funzionalità dei programmi e servizi informatici utilizzati per la gestione della posta elettronica e adeguando le impostazioni di default e i tempi di conservazione dei dati in modo conforme alle normative sulla privacy.