In data 21 dicembre 2023, il Garante per la protezione dei dati personali ha approvato il documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, volto a fornire talune indicazioni ai datori di lavoro pubblici e privati e agli altri soggetti a vario titolo coinvolti, al fine di promuovere la consapevolezza delle scelte, anche organizzative, dei titolari del trattamento, nonché a prevenire iniziative e trattamenti di dati in contrasto con la disciplina in materia di protezione dei dati e le norme che tutelano la liberà e la dignità dei lavoratori.
In sostanza, il Garante, anche a seguito di interventi ispettivi in materia (v. Ordinanza di ingiunzione nei confronti di Regione Lazio – 1° dicembre 2022 [doc web 9833530], ha rilevato che molti fornitori di sistemi di posta elettronica, particolarmente in cloud, rilevano e registrano i metadati dei messaggi di posta elettronica relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email), conservando gli stessi per un esteso arco temporale.
In alcuni casi tali piattaforme in cloud pongono limitazioni al cliente (datore di lavoro) in ordine alla possibilità di modificare le impostazioni di base del programma informatico al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi.
Questa pratica di conservare i metadati per un periodo di tempo esteso e comunque superiore al limite massimo di sette giorni (estendibile di ulteriori 48 ore in casi particolari da dimostrare) comporta secondo il Garante, ancorché sul presupposto della sua necessità per finalità di sicurezza informatica e tutela dell’integrità del patrimonio, anche informativo, del datore di lavoro, la possibilità di un indiretto controllo a distanza dell’attività dei lavoratori e pertanto richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della l. n. 300/1970.
Ciò a prescindere dalle responsabilità in materia di protezione dei dati quali liceità del trattamento, violazione del principio della limitazione della conservazione, violazione dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita, e di responsabilizzazione.
Per quanto sopra il Garante prescrive che i titolari:
- verifichino con la dovuta diligenza che i fornitori di posta elettronica non conservino per più di 7 giorni i metadati relativi ai messaggi di posta elettronica;
- qualora i sistemi non consentano di limitare tale periodo di conservazione, i titolari (datori di lavoro) dovranno, alternativamente:
- espletare le procedure previste dalla legge 300 in merito alle autorizzazioni necessarie a escludere la possibilità di controlli a distanza dei lavoratori;
- o cessare l’utilizzo di tali programmi e servizi informatici.
- nelle more dell’eventuale espletamento delle procedure di garanzia, i predetti metadati non possono comunque essere utilizzati (cfr. art. 2-decies del Codice);
- in ogni caso, deve essere assicurata la necessaria trasparenza nei confronti dei lavoratori, fornendo agli stessi una specifica informativa sul trattamento dei dati personali prima di dare inizio al trattamento.
Quanto sopra premesso, risulta opportuno verificare che il sistema di posta elettronica in uso permetta di limitare la conservazione dei metadati a solo sette giorni; in caso contrario, sarà necessario attivare sollecitamente le pratiche autorizzative previste dall’art. 4 legge 300.
Al termine dell’eventuale percorso autorizzativo, sarà redatta ed inviata ai dipendenti apposita informativa sul trattamento dei dati personali.