Conservazione metadati mail dipendenti: ecco le indicazioni definitive del Garante

Come ricorderete la prima versione del documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” pubblicato in Gazzetta Ufficiale a febbraio 2024 ha suscitato dubbi e perplessità.

Il Garante stesso ha sospeso il documento e ha indetto una consultazione pubblica, a seguito della quale, il 6 giugno 2024 ha aggiornato definitivamente il documento di indirizzo consultabile a questo link.

Il termine definitivo indicato dal Garante per la conservazione dei metadati delle e-mail dei dipendenti

Anticipiamo subito che a seguito della consultazione pubblica il Garante ha esteso il termine massimo di conservazione dei metadati delle mail da 7 a 21 giorni senza necessità di applicare le cautele previste dall’art. 4, comma 1, l. 20 maggio 1970, n. 300, ovvero l’accordo sindacale o l’autorizzazione dell’ispettorato del lavoro competente.

Tuttavia a nostro avviso l’importanza del documento di indirizzo è che con questo strumento il Garante ha chiarito le motivazioni che lo hanno generato e soprattutto cosa fare per rispettare il quadro normativo in un contesto complesso.

Lo scopo è riportato in apertura “CONSIDERATO: che nell’ambito di accertamenti condotti dal Garante con riguardo ai trattamenti di dati personali effettuati nel contesto lavorativo è emerso il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere, per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti, conservando gli stessi per un esteso arco temporale; ciò talvolta ponendo, altresì, limitazioni al cliente (datore di lavoro) in ordine alla possibilità di modificare le impostazioni di base del programma informatico al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi”

Quindi l’autorità vuole avvisare i titolari, perché durante le ispezioni effettuate si è accorto che nella maggior parte dei casi i fornitori dei servizi di posta elettronica in cloud per aziende (come Microsoft Outlook o Gmail) raccolgono e conservano per un periodo di tempo troppo lungo i metadati relativi agli account di posta elettronica dei dipendenti, impedendo al datore di lavoro di ridurre questo periodo.

Le motivazioni che hanno spinto il Garante ad emettere il documento di indirizzo sui metadati delle e-mail

I metadati delle e mail dei dipendenti contengono gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, anche l’oggetto del messaggio spedito o ricevuto.

Come spiega il Garante all’articolo 2 della delibera: “il contenuto dei messaggi di posta elettronica – come pure i dati esteriori delle comunicazioni e i file allegati – riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente (artt. 2 e 15 Cost.), che proteggono il nucleo essenziale della dignità della persona e il pieno sviluppo della sua personalità nelle formazioni sociali. Ciò comporta che, anche nel contesto lavorativo pubblico e privato, sussista una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza”

Ai fini della compliance alla privacy, di seguito il documento chiarisce e afferma che i servizi informatici come i software che gestiscono la posta elettronica danno luogo a “trattamenti” di dati personali, riferiti a “interessati”, identificati o identificabili nel contesto lavorativo.

E’ dunque necessario che il datore di lavoro, in qualità di titolare del trattamento, verifichi la sussistenza di un idoneo presupposto di liceità prima di effettuare trattamenti di dati personali dei lavoratori attraverso tali programmi e servizi, rispettando le condizioni per il lecito impiego di strumenti tecnologici nel contesto lavorativo.

In particolare, dovrà quindi essere sempre verificata la sussistenza dei presupposti di liceità stabiliti dall’art. 4 della l. 20 maggio 1970, n. 300 meglio conosciuta come “Statuto dei lavoratori”, cui rinvia l’art. 114 del Codice Privacy, nonché il rispetto delle diposizioni che vietano al datore di lavoro di acquisire e comunque trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata.

La violazione delle norme sopra citate può comportare oltre alle sanzioni amministrative previste dal Regolamento Europeo sulla Privacy anche l’insorgere di responsabilità penali.

Il principio di accountability in rapporto al termine di 21 giorni

Come abbiamo anticipato,  al punto  3 del documento in questione il Garante individua in un massimo di 21 giorni il termine congruo di conservazione dei metadati/log  per assicurare il corretto funzionamento e la sicurezza del sistema di posta elettronica, tuttavia in applicazione del principio di accountability, cioè di responsabilizzazione del titolare del trattamento, l’eventuale conservazione per un termine ancora più ampio potrà essere effettuata “solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente le specificità della realtà tecnica e organizzativa del titolare. Spetta in ogni caso al titolare adottare tutte le misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati.”

Qualora le condizioni specifiche non giustifichino l’estensione del periodo di conservazione oltre i 21 giorni dei log di posta elettronica, la conservazione per un lasso di tempo più esteso, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste all’art. 4, comma 1 dello Statuto dei lavoratori, cioè l’accordo con le organizzazioni sindacali o l’autorizzazione dell’ispettorato del lavoro.

Per maggior chiarezza, in applicazione del principio di “limitazione della conservazione” (art. 5, par. 1, lett. e), del Regolamento), l’autorità ammonisce, al paragrafo 4.3, i titolari dall’astenersi dal mantenere i log e i metadati delle e-mail per periodi non giustificabili dalle finalità connesse alla sicurezza informatica e alla tutela del patrimonio informatico, poiché per rilevare e mitigare eventuali incidenti di sicurezza è necessario adottare tempestivamente le misure più opportune.

Il Garante ricorda anche che, come per tutti i trattamenti di dati, il titolare è tenuto a rispettare i principi del Regolamento Europeo sulla Privacy anche per la raccolta e conservazione dei metadati degli account di posta elettronica dei dipendenti, e quindi fra gli altri adempimenti è tenuto a fornire agli interessati in modo corretto e trasparente una chiara informativa del trattamento.

Il documento di indirizzo invita altresì i titolari del trattamento a prendere in considerazione una preventiva valutazione di impatto, vista le indicazioni fornite anche a livello europeo sul punto dal Gruppo di lavoro articolo 29, in caso di raccolta e memorizzazione dei log della posta elettronica, stante la particolare “vulnerabilità” degli interessati nel contesto lavorativo, nonché il rischio di “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti”

Qual è il problema per i titolari del trattamento e cosa devono fare le aziende per rispettare la normativa sulla privacy?

Il problema è che ad oggi i principali provider che forniscono alle aziende strumenti in cloud per la gestione della posta elettronica non permettono agli amministratori di sistema designati dal titolare del trattamento di limitare o variare il periodo di conservazione dei metadati delle e-mail, conservando di default i metadati e consentendone l’accesso agli amministratori per un periodo ben superiore ai 21 giorni.

Da un lato con questo documento il Garante detta alle varie organizzazioni le indicazioni per essere compliance, quindi in caso di ispezione non si può dire “non lo sapevo”, dall’altro enti ed aziende possono sentirsi frustrate perché gli strumenti sui quali hanno investito, che consentono prestazioni a livello di performance, scalabilità e soprattutto di sicurezza informatica ottimali non permettono di rispettare la normativa. Tuttavia, i modi e le attività per dimostrare concretamente la volontà e l’obiettivo di essere pienamente compliance sono ben individuati dal documento di indirizzo.

Per una consulenza o per sapere nel dettaglio come essere conferme alla normativa e alle indicazione del Garante Privacy non esitare a contattarci compilando il modulo qui in basso.