Metadati sul lavoro: esteso a 21 giorni il periodo di conservazione

Per comprendere la questione, è essenziale definire cosa si intende per metadati nel contesto delle e-mail aziendali. I metadati sono informazioni aggiuntive registrate automaticamente nei log dai sistemi server che gestiscono e smistano la posta elettronica, noti come Mail Transport Agent (MTA). Tali dati includono informazioni come il mittente, il destinatario, l'orario di invio, l'indirizzo IP e altre informazioni tecniche che tracciano il percorso delle e-mail attraverso vari server ovvero le postazioni terminali definite come Mail User Agent (MUA).

L'importanza dei metadati

La rilevanza dei metadati è duplice:

• da un lato, forniscono un mezzo per monitorare e ottimizzare il traffico e la sicurezza delle comunicazioni aziendali;
• dall'altro, la loro raccolta e conservazione, può impattare in maniera negativa sulla protezione dei dati dei lavoratori.

Invero, i metadati raccolgono un'ampia gamma di informazioni che documentano le operazioni di invio, ricezione e smistamento dei messaggi come gli indirizzi e-mail del mittente e del destinatario; gli indirizzi IP dei server o dei client coinvolti nella trasmissione del messaggio; gli orari di invio o ricezione del messaggio, la dimensione del messaggio e di eventuali allegati e in certi casi, anche l'oggetto del messaggio, a seconda del sistema di gestione della posta elettronica utilizzato.

Il Garante, nel documento di indirizzo (Provvedimento del 6 giugno 2024) del delinea la distinzione tra i metadati e il contenuto sostanziale dei messaggi di posta elettronica che non deve essere confusa con le informazioni contenute nel corpo del testo delle e-mail o con altre informazioni interne al messaggio.

L'uso di programmi e servizi informatici per la gestione delle informazioni e delle comunicazioni aziendali comporta inevitabilmente il trattamento di dati personali relativi a soggetti interessati, i quali possono essere identificati o identificabili (ai sensi dell'art. 4, par. 1, nn. 1) e 2) Reg. UE 2016/679. In questo contesto, il datore di lavoro, in quanto titolare del trattamento, ha l'obbligo di verificare che esista una base giuridica prima di procedere con qualsiasi trattamento dei dati personali conformemente agli artt. 5, par. 1, lett. a), e 6 del Regolamento, e di rispettare le condizioni specifiche per l'uso legittimo di strumenti tecnologici nei luoghi di lavoro (art. 88, par. 2 del Regolamento).

L'applicazione dello Statuto dei lavoratori

Il Garante ritorna sull'applicazione dell'art. 4 dello Statuto dei lavoratori cui fa rinvio l'art. 114 del Codice privacy. A tal uopo, ribadisce come sia fondamentale rispettare le disposizioni che vietano ai datori di lavoro di acquisire e trattare informazioni che non siano rilevanti per la valutazione dell'attitudine professionale del lavoratore o che siano inerenti alla sua sfera privata, come stabilito dall'art. 8 dello stesso Statuto dei Lavoratori e dall'art. 10 D.Lgs. 276/2003. Gli articoli 113 e 114 del Codice rappresentano norme più specifiche e garantiste rispetto a quelle contenute nell'art. 88 del Regolamento, la cui osservanza rappresenta una condizione indispensabile per la liceità del trattamento.

La classificazione dello strumento di lavoro

Il Garante opera, nel contesto lavorativo, un chiarimento operativo circa la classificazione dello strumento. Affinché uno strumento possa essere considerato uno strumento di lavoro, e quindi rientrare nell'ambito di applicazione dell'art. 4 comma 2 dello Statuto dei lavoratori, è necessario che l'attività di raccolta e conservazione dei soli metadati e log necessari per garantire il funzionamento delle infrastrutture del sistema di posta elettronica sia limitato ad un periodo di conservazione non superiore ai 21 giorni. Qualora siano presenti particolari condizioni tecniche o organizzative che giustifichino un'estensione del periodo di conservazione il titolare del trattamento di comprovare la necessità di una durata di conservazione estesa, tenendo conto delle specificità della propria realtà operativa.

Diversamente, la raccolta e la conservazione generalizzata dei log di posta elettronica per un periodo di tempo esteso, anche se giustificata da necessità di sicurezza informatica e tutela del patrimonio aziendale, possono comportare un controllo a distanza delle attività dei lavoratori. Ne discende che ai fini della conservazione ulteriore rispetto ai 21 giorni fissati sarà necessaria la presenza di una delle legittimanti contemplate dal primo comma dell'art. 4 St. Lav. unitamente al raggiungimento di un accordo sindacale o in mancanza dell'autorizzazione ammnistrativa.

L'informazione dei lavoratori

Il Garante ricorda che a prescindere dal periodo di conservazione, la liceità del trattamento è determinata, altresì, dal rispetto delle prescrizioni di cui all'ultimo comma dell'art. 4 dello Statuto dei lavoratori. Il lavoratore deve, pertanto, essere posto nelle condizioni di conoscere le modalità di funzionamento del sistema e le modalità di controllo da parte del datore di lavoro.

Il titolare è tenuto a implementare una serie di misure metodologiche e analitiche volte all'esame approfondito dei programmi in uso, con l'obiettivo primario di identificare i servizi informatici impiegati per la gestione della posta elettronica dei dipendenti. Tale processo dovrà concentrarsi in modo particolare sui servizi offerti come prodotti commerciali in modalità cloud o as-a-service, che sono sempre più adottati nell'ambito delle infrastrutture IT aziendali. La valutazione critica dei servizi forniti dai diversi operatori del mercato sarà un elemento centrale e determinante per garantire la conformità alle prescrizioni emanate dal Garante per la protezione dei dati personali. Tale conformità richiede un'attenzione specifica alla qualità, alla sicurezza e alla trasparenza delle soluzioni proposte dai fornitori, affinché le stesse rispettino gli standard imposti dall'Autorità. Tuttavia, si rileva come le condizioni contrattuali possono tradursi in difficoltà operative sia per la gestione che per l'attuazione degli orientamenti stabiliti dall'Autorità, infatti, le clausole imposte dai fornitori possono limitare la flessibilità e ridurre l'autonomia del titolare nella gestione del periodo di conservazione. Risulta auspicabile un'attenzione proattiva anche dai fornitori di servizi al fine di ridurre l'asimmetria dei soggetti che partecipano alle attività di trattamento.

Fonte: Provvedimento Garante Privacy 6 giugno 2024