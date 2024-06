Il Garante per la protezione dei dati personali ha recentemente pubblicato i risultati di una consultazione pubblica riguardante la conservazione dei metadati della posta elettronica, un tema che ha suscitato ampi dibattiti tra esperti di privacy e responsabili aziendali. Le nuove disposizioni rappresentano una svolta significativa nella gestione dei metadati, dopo il provvedimento del dicembre 2023, che aveva fatto molto clamore presso i datori di lavoro, e di cui avevamo parlato in questo articolo.

Analizziamo le principali novità del provvedimento 364 del 6 giugno 2024 e le loro implicazioni per il mondo aziendale pubblico e privato.

1. Definizione e ambito dei metadati

Il Garante ha chiarito che i metadati non devono essere confusi con le informazioni contenute nel corpo dei messaggi di posta elettronica. I metadati comprendono informazioni registrate automaticamente nei log generati dai sistemi di gestione della posta elettronica, come indirizzi e-mail di mittente e destinatario, indirizzi IP dei server o client coinvolti, orari di invio e ricezione, dimensione del messaggio, presenza di allegati, e talvolta anche l’oggetto del messaggio. Questi dati sono registrati indipendentemente dalla volontà dell’utente e sono essenziali per il funzionamento tecnico del sistema di posta elettronica.

2. Metadati nei log dei servizi di posta

I metadati formano l’“envelope” tecnico delle e-mail, documentando l’instradamento del messaggio e altri parametri tecnici. Sebbene queste informazioni siano parte integrante del messaggio stesso, rimangono sotto il controllo esclusivo dell’utente. Questo implica che, nonostante la loro natura tecnica, i metadati non possono essere trattati senza considerare il controllo e il consenso dell’utente.

3. Normativa sulla Conservazione dei Metadati

Il quadro normativo richiamato include:

Le “Linee guida del Garante per posta elettronica e Internet” del 2007 e i successivi aggiornamenti.

I principi del GDPR riguardanti la liceità del trattamento dei dati.

Le disposizioni dello Statuto dei Lavoratori che vietano al datore di lavoro di acquisire informazioni non rilevanti per la valutazione professionale del lavoratore.

4. Conservazione dei metadati e controlli a distanza

Il documento di indirizzo rivisitato dal Garante per la protezione dei dati personali affronta il tema cruciale della conservazione dei metadati in relazione ai controlli a distanza. Questo documento specifica che, per essere conforme al comma II dell’art. 4 dello Statuto dei Lavoratori (L. n. 300/1970), la conservazione dei metadati non dovrebbe superare i 21 giorni. Vediamo nel dettaglio cosa significa e quali sono le implicazioni pratiche di questo provvedimento.

5. Periodo di Conservazione dei Metadati

La normativa stabilisce un limite di 21 giorni per la conservazione dei metadati, un termine che bilancia la necessità di garantire il corretto funzionamento delle infrastrutture di posta elettronica con la protezione della privacy dei lavoratori. Questo periodo è considerato sufficiente per risolvere eventuali problemi tecnici e per effettuare le operazioni necessarie alla gestione e alla sicurezza dei sistemi di posta elettronica.

6. Estensione del Periodo di Conservazione

Il documento ammette la possibilità di un’estensione del periodo di conservazione oltre i 21 giorni, ma solo in presenza di condizioni particolari che lo giustifichino. Queste condizioni devono essere comprovate in modo adeguato, applicando rigorosamente il principio di accountability. Questo significa che il titolare del trattamento deve essere in grado di dimostrare che l’estensione è necessaria per motivi tecnici o organizzativi specifici.

7. Misure Tecniche e Organizzative

Qualora sia necessario estendere il periodo di conservazione dei metadati, anche solo per ulteriori 48 ore, il titolare del trattamento deve adottare tutte le misure tecniche e organizzative necessarie per rispettare il principio di limitazione della finalità. Queste misure potrebbero ad esempio includere:

Accessibilità selettiva: solo il personale autorizzato e adeguatamente istruito può accedere ai dati conservati. Questo riduce il rischio di accessi non autorizzati e di utilizzi impropri delle informazioni.

Tracciatura degli accessi: deve essere mantenuta una registrazione dettagliata degli accessi ai metadati, garantendo che ogni accesso sia monitorato e tracciabile. Questo aumenta la trasparenza e la responsabilità nella gestione dei dati.

8. Controllo a Distanza dei Lavoratori

Il Garante avverte che una raccolta generalizzata e una conservazione prolungata dei metadati possono configurare un controllo a distanza indiretto delle attività dei lavoratori. Questo tipo di controllo richiede le garanzie previste dall’art. 4, comma I, dello Statuto dei Lavoratori. Tali garanzie includono l’accordo con le rappresentanze sindacali o, in assenza di tale accordo, l’autorizzazione dell’Ispettorato del Lavoro.

9. Responsabilità dei Datori di Lavoro

I datori di lavoro, sia pubblici che privati, devono garantire che la raccolta e la conservazione dei metadati rispettino le normative vigenti. La mancata osservanza può portare a sanzioni amministrative e penali. Inoltre, è vietato l’uso di dati personali raccolti senza le necessarie garanzie per finalità diverse da quelle dichiarate.

10. Principio di Correttezza e Trasparenza

Il Garante sottolinea l’importanza di rispettare i principi di correttezza e trasparenza nella raccolta e conservazione dei log. I lavoratori devono essere adeguatamente informati sulle modalità di trattamento dei loro dati personali, compresi i tempi di conservazione e l’eventuale utilizzo per controlli.

11. Data Retention e Sicurezza Informatica

Il documento di indirizzo conferma l’importanza della data retention per la sicurezza informatica. La conservazione dei metadati è giustificata per rilevare e mitigare incidenti di sicurezza, adottando tempestive contromisure. Tuttavia, devono essere rispettati i limiti temporali previsti per evitare abusi.

12. Privacy by Design e by Default

Il Garante evidenzia l’importanza dei principi di privacy by design e by default. I datori di lavoro devono assicurarsi che le funzioni non necessarie siano disattivate e che i tempi di conservazione dei dati siano adeguati. Inoltre, i fornitori di servizi devono contribuire a garantire che i prodotti siano conformi al GDPR, integrando la protezione dei dati fin dalla fase di progettazione.

13. Iniziative di Compliance per i Datori di Lavoro

I datori di lavoro devono adottare misure necessarie per conformare i trattamenti dei dati alle nuove disposizioni. Questo include la verifica che i programmi di gestione della posta elettronica consentano di modificare le impostazioni di default per limitare la raccolta dei metadati. In particolare, nel settore pubblico, le indicazioni del Garante devono essere seguite anche quando si utilizzano servizi cloud.