Il Garante per la protezione dei dati personali con provvedimento del 06 giugno u.s., all’esito della consultazione pubblica avviata, ha adottato una versione aggiornata del documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”.

Le principali novità riguardano:

  • la definizione di metadati. Il Garante ha precisato che i metadati oggetto del provvedimento corrispondono unicamente alle “informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni client (MUA = Mail User Agent)”. Le indicazioni fornite dal Garante, pertanto, non riguardano i contenuti dei messaggi di posta elettronica (né le informazioni tecniche che ne fanno comunque parte integrante), che rimangono nella disponibilità dell’utente/lavoratore, all’interno della casella di posta elettronica attribuitagli;
  • il periodo di conservazione dei metadati. Il termine di conservazione è stato portato a 21 giorni, termine ritenuto congruo perché la posta elettronica possa qualificarsi come strumento per rendere la prestazione lavorativa ai sensi dell’art. 4, comma II, dello Statuto dei Lavoratori.

L’eventuale conservazione per un termine più ampio, affinché la posta elettronica possa sempre qualificarsi come strumento di lavoro, potrà essere effettuata solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente le specificità della realtà tecnica e organizzativa dell’ente.

In assenza delle specificità in questione, la raccolta e la conservazione generalizzata dei metadati, per un lasso di tempo più esteso di 21 giorni, dovrà essere oggetto di accordo con le rappresentanze sindacali in azienda o di rilascio dell’autorizzazione da parte dell’Ispettorato del Lavoro, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori.

Il Titolare del trattamento è tenuto anzitutto a verificare presso il proprio fornitore dei servizi di posta elettronica se il periodo di conservazione dei metadati è in linea con quello previsto nel provvedimento.

All’esito di detta verifica:

  • se il periodo di conservazione è contenuto nel termine di 21 giorni, il Titolare dovrà unicamente verificare se l’informativa privacy e il registro delle attività di trattamento necessitano di una integrazione e/o revisione con riferimento a finalità, modalità e tempi di conservazione dei metadati;
  • se il periodo di conservazione è superiore a 21 giorni, il Titolare dovrà verificare se, rispetto alla specificità della propria realtà tecnica e organizzativa, sussistono condizioni particolari che rendono necessaria l’estensione del periodo di conservazione per assicurare il funzionamento delle infrastrutture del sistema della posta elettronica. Tale valutazione dovrà essere supportata da una DPIA. Il Titolare dovrà inoltre integrare e/o modificare l’informativa privacy e il registro delle attività di trattamento;
  • se il periodo di conservazione è superiore a 21 giorni e non sussistono le particolari condizioni di cui al precedente punto, il Titolare dovrà individuare il periodo di conservazione, stipulare un accordo con le rappresentanze sindacali in azienda o ottenere l’autorizzazione da parte dell’Ispettorato del Lavoro, integrare e/o modificare l’informativa privacy e il registro delle attività di trattamento. Resta inteso che il periodo di conservazione deve essere comunque stabilito nel rispetto dei principi di limitazione del trattamento, correttezza e trasparenza nei confronti dei lavoratori e previo espletamento della DPIA. 

Quanto ai fornitori dei servizi di posta elettronica, il Garante impone loro di contribuire affinché il Titolare possa adempiere a quanto previsto nel documento di indirizzo, realizzando prodotti che siano conformi ai principi di privacy by design e by default e che tengano conto dell’attuale “stato dell’arte” in tema di metadati.