Email dei dipendenti: il Garante ha aggiornato il Documento di indirizzo
Il Garante per la protezione dei dati personali, con proprio provvedimento del 6 giugno 2024 e diffuso il successivo 14 giugno, ha aggiornato il “Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”.
Nell’apporvi modifiche ed integrazioni, il Garante ha tenuto conto delle osservazioni e proposte pervenute nell’ambito della consultazione pubblica dallo stesso avviata con il provvedimento n. 127 del 22 febbraio 2024.
Il Garante ha precisato che dal Documento - stante la sua natura orientativa - non discendono nuovi adempimenti e responsabilità.
Entrando nel merito del Documento, il Garante ha innanzitutto fornito una nozione di metadati, intendendo per tali “le informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client”.
In sostanza i metadati sono le informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi che possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto.
Il Garante ha sottolineato che i metadati cui si riferisce il Documento “presentano la caratteristica di essere registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà di utilizzare”. Ed essi non vanno confusi con “le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (nel corpo del messaggio)” né con “l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici” che rimangono nella disponibilità dell’utente/lavoratore, all’interno della casella di posta elettronica assegnata.
In questo contesto il Garante ha anche evidenziato che l’attività di raccolta e conservazione dei metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione, deve essere effettuata, di norma, per un periodo limitato a pochi giorni; a titolo orientativo, tale conservazione non dovrebbe comunque superare i 21 giorni.
Ad avviso del Garante, l’eventuale conservazione per un termine più ampio può essere effettuata, solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente, in applicazione del principio di accountability previsto dal Regolamento (UE) 2016/679 in materia di protezione dei dati personali (il “Regolamento”), le specificità della realtà tecnica e organizzativa del titolare. Con l’occasione, il Garante ha ribadito che spetta, in ogni caso, al titolare adottare tutte le misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati.
Invece, la generalizzata raccolta e la conservazione dei log di posta elettronica per un lasso di tempo più esteso richiede - secondo il Garante - l’esperimento delle garanzie procedimentali di cui all’art. 4 della Legge n. 300/1970 (c.d. Statuto dei Lavoratori). Resta fermo che anche tale conservazione deve avvenire nel rispetto del principio di limitazione della conservazione.
Inoltre, il Garante ha precisato che il titolare del trattamento, anche quando utilizza prodotti o servizi realizzati da terzi, deve verificare (avvalendosi del supporto del Responsabile della protezione dei dati, ove designato) la conformità ai principi applicabili al trattamento dei dati adottando, nel rispetto del principio di responsabilizzazione, le opportune misure tecniche e organizzative e impartendo le necessarie istruzioni al fornitore del servizio.
Il titolare del trattamento deve, quindi, accertare che siano disattivate le funzioni incompatibili con le proprie finalità del trattamento o che si pongono in contrasto con specifiche norme di settore previste dall’ordinamento, ad esempio commisurando adeguatamente anche i tempi di conservazione dei dati o chiedendo al fornitore del servizio di anonimizzare i metadati raccolti nei casi in cui non si intenda effettuare una conservazione più prolungata degli stessi.
In tale prospettiva, il Regolamento prevede che, già in fase di progettazione, sviluppo, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali, i produttori dei servizi e delle applicazioni debbono tenere conto del diritto alla protezione dei dati conformemente allo stato dell’arte.
Ne consegue che i fornitori devono contribuire a far sì che i titolari del trattamento possano adempiere ai loro obblighi di protezione dei dati, contemperando le esigenze di commercializzazione su larga scala dei propri prodotti con la conformità degli stessi ai principi del Regolamento, anche nella prospettiva di migliorare il prodotto offerto, sotto il profilo della sua maggiore conformità ad esso.
In merito alle iniziative da porre in essere, il Garante ha sottolineato che i datori di lavoro pubblici e privati devono adottare le misure necessarie a conformare i propri trattamenti alla disciplina di protezione dati e a quella di settore. In particolare, spetta al titolare del trattamento verificare che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti - specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service - consentano di rispettare la disciplina di protezione dei dati nei termini indicati nel Documento, anche con riguardo al periodo di conservazione dei metadati.