L’Autorità Garante per la protezione dei dati personali con provvedimento n. 364 del 6 giugno 2024, ha pubblicato il documento di indirizzo aggiornato e modificato a seguito della consultazione pubblica, concernente i programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo ed il trattamento dei metadati delle email dei dipendenti.
Il Garante precisa preliminarmente che il documento non reca prescrizioni né introduce nuovi adempimenti a carico dei titolari del trattamento ma intende offrire una ricostruzione sistematica delle disposizioni applicabili in tale specifico ambito, alla luce di talune precedenti decisioni dell’Autorità, al solo fine di richiamare l’attenzione su alcuni punti di intersezione tra la disciplina di protezione dei dati e le norme che stabiliscono le condizioni per l’impiego degli strumenti tecnologici nei luoghi di lavoro.
La definizione dei metadati
Per il Garante, trattasi delle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni client (MUA = Mail User Agent).
Tali metadati includono:
- indirizzi email del mittente e del destinatario
- indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio
- gli orari di invio, di ritrasmissione o di ricezione
- la dimensione del messaggio
- la presenza e la dimensione di eventuali allegati
- l’oggetto del messaggio spedito o ricevuto (in relazione al sistema di gestione del servizio di posta elettronica utilizzato).
I metadati cui ci si riferisce il documento del Garante (sia quelli di origine prettamente tecnica sia quelli, come il campo “Oggetto”, determinati dagli utenti) presentano la caratteristica di essere registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utilizzatore.
Le informazioni contenute nel c.d. Envelope
I metadati oggetto del provvedimento del Garante non vanno confusi con le informazioni contenute nei messaggi di posta elettronica nella loro corpo del messaggio o anche in essi integrate, a formare il cosiddetto envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici.
Pur essendo metadati registrati automaticamente nei log dei servizi di posta, tali metadati sono inseparabili dal messaggio, di cui fanno parte integrante e rimangono sotto il controllo esclusivo dell’utente: le indicazioni contenute nel documento del Garante relativamente ai tempi di conservazione dei metadati così come definiti sopra, non riguardano i contenuti dei messaggi di posta elettronica, né le informazioni tecniche che ne fanno comunque parte integrante.
La liceità del trattamento
L’art. 4 c. 1, L. 300/1970 individua tassativamente le finalità (organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale) per le quali gli strumenti, dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere impiegati nel contesto lavorativo, stabilendo precise garanzie procedurali (ovvero un accordo sindacale o un’autorizzazione pubblica).
Tali garanzie non trovano invece applicazione “agli strumenti di registrazione degli accessi e delle presenze”, così come “agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” (art. 4, c. 2).
Tale disposizione introduce un’eccezione, rispetto al più restrittivo regime previsto dal comma 1, che, secondo il Garante, deve essere oggetto di stretta interpretazione, considerate le responsabilità anche sul piano penale che possono derivare dalla violazione del predetto quadro normativo.
Per l’applicabilità di tale eccezione, l’attività di raccolta e conservazione dei soli metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, se riferite alle email dei dipendenti, potrà quindi essere effettuata, in base al provvedimento del Garante, di norma, per un periodo limitato a pochi giorni, che non dovrebbe comunque superare i 21 giorni.
L’eventuale conservazione per un termine ancora più ampio potrà essere effettuata, solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente, in applicazione del principio di accountability previsto dall’art. 5, par. 2, del GDPR, le specificità della realtà tecnica e organizzativa del titolare.
Spetta in ogni caso al titolare adottare tutte le misure tecniche ed organizzative per:
- assicurare il rispetto del principio di limitazione della finalità
- l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti
- la tracciatura degli accessi effettuati.
Diversamente, la generalizzata raccolta e la conservazione dei log di posta elettronica riferiti alle email dei dipendenti, per un lasso di tempo più esteso, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, L. 300/1970.
Anche tale conservazione dovrà avvenire nel rispetto del principio di limitazione della conservazione.
Principi di protezione dei dati fin dalla progettazione e per impostazione predefinita
Il titolare del trattamento, anche quando utilizza prodotti o servizi realizzati da terzi, deve verificare la conformità ai principi applicabili al trattamento dei dati (art. 5 GDPR) adottando, nel rispetto del principio di responsabilizzazione, le opportune misure tecniche e organizzative e impartendo le necessarie istruzioni al fornitore del servizio.
Il titolare del trattamento deve quindi accertare che siano disattivate le funzioni che non sono compatibili con le proprie finalità del trattamento o che si pongono in contrasto con specifiche norme di settore previste dall’ordinamento, ad esempio commisurando adeguatamente anche i tempi di conservazione dei dati, ovvero chiedendo al fornitore del servizio di anonimizzare i metadati raccolti, nei casi in cui non si intenda effettuare una conservazione più prolungata degli stessi.
In tale prospettiva, il GDPR prevede che, già in fase di progettazione, sviluppo, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali, i produttori dei servizi e delle applicazioni debbano tenere conto del diritto alla protezione dei dati conformemente allo stato dell’arte.
Anche i fornitori, pertanto, devono contribuire a far sì che i titolari del trattamento possano adempiere ai loro obblighi di protezione dei dati, contemperando le esigenze di commercializzazione su larga scala dei propri prodotti con la conformità degli stessi ai principi del Regolamento, anche nella prospettiva di migliorare il prodotto offerto, sotto il profilo della sua maggiore conformità al Regolamento (v. cons. 78 GDPR).
I datori di lavoro pubblici e privati dovranno quindi adottare le misure necessarie a conformare i propri trattamenti alla disciplina di protezione dati e a quella di settore: in particolare, spetta al titolare del trattamento verificare che i programmi e servizi informatici di gestione delle email in uso ai dipendenti – specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service – consentano al cliente (datore di lavoro) di rispettare la disciplina di protezione dei dati nei termini indicati nel presente documento di indirizzo anche con riguardo al periodo di conservazione dei metadati.