Il Garante, con il provvedimento n. 364 del 6 giugno, ha adottato una versione aggiornata del documento di indirizzo n. 642 del 21 dicembre scorso (la cui efficacia era stata sospesa) denominato «Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati» (v. la nostra newsflash «Garante privacy: regole restrittive per la conservazione delle email dei dipendenti» del 14.02.2024).
Il Garante dichiara di voler fornire alle imprese, con questo documento, indicazioni orientative in ordine alle modalità di gestione dell’email in uso ai dipendenti; pertanto, afferma ancora il Garante, dallo stesso non discendono nuovi adempimenti o responsabilità.
In primo luogo, al fine di chiarire l’ambito di applicazione oggettivo del provvedimento, si precisa la nozione di metadati di posta elettronica, in luogo della mera esemplificazione contenuta nel testo precedente. Si tratta delle informazioni registrate automaticamente nei log generati dai sistemi server di gestione e smistamento dell’email che possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server, gli orari di invio (di ritrasmissione o di ricezione), la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, anche l’oggetto del messaggio spedito o ricevuto.
Il Garante afferma che i metadati non vanno in alcun modo confusi con le informazioni presenti nel corpo dei messaggi di posta elettronica (i.e. i contenuti) né con le informazioni tecniche che ne fanno comunque parte integrante e formano la cosiddetta envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici. Queste informazioni rimangono nella disponibilità dell’utente/lavoratore, all’interno della casella di posta attribuitagli.
Solo i primi (metadati/log) formano oggetto del provvedimento, e solo ad essi pertanto si riferiscono le indicazioni del Garante.
Indicazioni peraltro modificate rispetto al provvedimento precedente: la raccolta e conservazione dei metadati/log necessari ad assicurare il funzionamento della posta elettronica può essere effettuata per un periodo limitato di pochi giorni e, in ogni caso, non dovrebbe superare il limite orientativo di 21 giorni (in luogo dei 7 stabiliti in precedenza). La conservazione per un termine ancora più ampio potrà essere effettuata solo in presenza di particolari condizioni, che dovranno essere comprovate dal titolare del trattamento in base al principio di accountability stabilito dal GDPR. L’eventuale conservazione dei metadati/log oltre il termine dovrà essere autorizzata con le procedure di cui all’art. 4, primo comma, dello Statuto dei Lavoratori.
Toffoletto De Luca Tamajo è a Vostra disposizione per qualsiasi chiarimento e per la redazione dei documenti necessari.
Per maggiori informazioni: comunicazione@toffolettodeluca.it
