Provvedimento Garante Privacy: posta elettronica e trattamento dei metadati

Il recente provvedimento del Garante per la protezione dei dati personali pubblicato il 6 febbraio, in merito a “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, ha sollevato preoccupazioni e perplessità da parte di tutte le aziende che utilizzano la posta elettronica come strumento di lavoro e tra gli operatori del settore informatico tecnologico.

In sintesi, il Garante Privacy ha fissato dei vincoli molto restrittivi stabilendo che i metadati delle e-mail (ad esempio giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail), utilizzate dai dipendenti nel contesto lavorativo, possono essere conservati entro il termine massimo di 7 giorni, estensibile in presenza di documentate esigenze di ulteriori 48 ore.


IL PROVVEDIMENTO

Riportiamo di seguito due estratti del provvedimento che racchiudono quanto previsto.

“CONSIDERATO che nell’ambito di accertamenti condotti dal Garante con riguardo ai trattamenti di dati personali effettuati nel contesto lavorativo è emerso il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere, per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email), conservando gli stessi per un esteso arco temporale; ciò talvolta ponendo, altresì, limitazioni al cliente (datore di lavoro) in ordine alla possibilità di modificare le impostazioni di base del programma informatico al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi”

“Alla luce delle disposizioni richiamate, l’attività di raccolta e conservazione dei soli c.d. metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, per un tempo che, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione – affinché sia ritenuto applicabile il comma 2 dell’art. 4 della L. n. 300/1970 – non può essere superiore di norma a poche ore o ad alcuni giorni,  in ogni caso non oltre sette giorni,  estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore (v. provv.ti nn. 303 del 13 luglio 2016, doc. web n. 5408460; 1° febbraio 2018, n. 53, doc. web n. 8159221; 29 ottobre 2020, n. 214, doc. web n. 9518890; 29 settembre 2021, n. 353, doc. web n. 9719914).”

Il provvedimento è un chiarimento emanato a seguito di una sanzione di € 100.000,00 erogata dal Garante alla Regione Lazio per la conservazione dei metadati per un periodo di 180 giorni, l’episodio si contestualizza nell’utilizzo di dati di posta per controllare dei lavoratori, da qui il rimando all’art. 4 della L. n. 300/1970 (Impianti audiovisivi e strumenti di controllo) che indica “Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali.”


CONSIDERAZIONI

Il provvedimento in oggetto è molto discusso e criticato in dottrina. A nostro avviso genera un’evidente difficoltà gestionale e operativa a carico delle aziende che utilizzano la posta elettronica come strumento di lavoro.

La disponibilità di e-mail per più di sette giorni è in molti casi necessaria e funzionale all’operatività aziendale. Queste considerazioni pratiche, per quanto possano essere condivise e sensate, non sono sufficienti per sollevare il datore di lavoro che conserva i metadati per un tempo superiore dal rischio di subire le sanzioni stabilite per i casi di trattamento illecito.


Quali accorgimenti adottare?

Per evitare di incorrere in sanzioni, consigliamo di adottare al più presto alcuni accorgimenti:

  • Verificare le politiche aziendali di conservazione dei dati: se la tua azienda non ha necessità di conservare i metadati di posta elettronica per un periodo superiore a quanto indicato, procedi all’adeguamento
  • Per prolungare il periodo di conservazione: tale operazione può essere giustificata se il Titolare svolge una Valutazione di Impatto sulla Protezione dei Dati (DPIA) motivando le proprie necessità, e se raggiunge un accordo dedicato con le organizzazioni sindacali aziendali o ottiene un’autorizzazione dall’Ispettorato del Lavoro
  • Aggiornare l’informativa privacy destinata ai lavoratori: deve essere chiara e completa sulle modalità di utilizzo degli strumenti tecnologici e di effettuazione degli eventuali controlli
  • Valutare una soluzione di conservazione di posta elettronica: l’archiviazione dei dati oltre i tempi previsti verrà resa disponibile in accesso solo al responsabile privacy/DPO designato

 

Per rispondere alle numerose richieste di chiarimenti ricevute, con un provvedimento del 22 febbraio, il Garante privacy ha dunque deciso di promuovere una consultazione pubblica di 30 giorni sulle forme e modalità di utilizzo che renderebbero necessaria una conservazione dei meta dati superiore a quella ipotizzata nel documento di indirizzo e di posticipare di 90 giorni l’applicazione del provvedimento; la notizia a questo link.