Il Garante della Privacy, con provvedimento n. 364 del 6 giugno 2024, è tornato ad affrontare il tema della conservazione dei metadati degli account dei servizi di posta elettronica dei lavoratori all’esito della consultazione pubblica avviata sul tema pochi mesi fa e a seguito della quale era stata differita l’efficacia del documento di indirizzo del 21 dicembre 2023 denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (in cui il periodo di conservazione veniva indicato in 7 giorni, estensibili di 48 ore per comprovate esigenze; cfr. nostre newsletter del 7 Marzo 2024 “Garante Privacy: rinviata l’entrata in vigore delle regole sulla gestione delle mail dei dipendenti” e del 9 febbraio 2024 “Garante Privacy: nuove tutele per la email dei dipendenti”).
Innanzitutto, il Garante ha chiarito che i metadati oggetto del proprio provvedimento sono quelli che vengono registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utilizzatore: gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto.
Tali metadati non vanno quindi confusi con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate.
Il Garante ha chiarito, pertanto, che le indicazioni contenute nel provvedimento relativamente ai tempi di conservazione dei metadati come sopra definiti non riguardano i contenuti dei messaggi di posta elettronica (né le informazioni tecniche che ne fanno comunque parte integrante) che rimangono nella disponibilità dell’utente/lavoratore, all’interno della casella di posta elettronica attribuitagli.
Ciò precisato, il Garante ha poi ampliato il periodo di conservazione dei metadati a 21 giorni, a fronte del termine massimo di 7-9 giorni previsto nella prima versione del provvedimento.
Tale termine può essere poi esteso senza la necessità di espletare le garanzie di cui all’art. 4, c. 1, Statuto dei Lavoratori (accordo sindacale o autorizzazione INL) qualora la conservazione avvenga – al fine di assicurare il funzionamento delle infrastrutture del sistema della posta elettronica – in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente le specificità della realtà tecnica e organizzativa del titolare.
Diversamente, il datore di lavoro sarà invece tenuto ad attivare le richiamate procedure di garanzia previste dal predetto art. 4, c. 1.
Il Garante ha, altresì, precisato che spetta al titolare del trattamento verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service – consentano al cliente (datore di lavoro) di rispettare la disciplina di protezione dei dati nei termini indicati nel documento di indirizzo, anche con riguardo al periodo di conservazione dei metadati.
Ruolo importante spetta, pertanto, anche ai fornitori dei servizi e delle applicazioni di posta elettronica che devono contribuire a far sì che i titolari del trattamento possano adempiere ai loro obblighi di protezione dei dati, contemperando le esigenze di commercializzazione su larga scala dei propri prodotti con il rispetto della disciplina in materia di privacy.
Per leggere il testo del provvedimento clicca qui