Il Garante per la Protezione dei Dati Personali, il 14 giugno scorso ha pubblicato il “Provvedimento del 6 giugno 2024 - Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, ovvero la versione aggiornata - all’esito della consultazione pubblica avviata dallo stesso Garante - del provvedimento pubblicato a febbraio 2024 in merito alla conservazione dei dati relativi alle email aziendali.
In particolare, con il provvedimento di febbraio il Garante ha ritenuto che alcuni programmi e servizi informatici per la gestione della posta elettronica, specialmente se forniti in modalità cloud, sono configurati in modo da raccogliere e conservare i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti e, quindi, ciò può comportare un indiretto controllo a distanza dei lavoratori da parte dei propri datori di lavoro, nel caso in cui tali informazioni siano conservati per un periodo di tempo maggiore di 7 giorni (eventualmente prorogabili di 48 ore). A detta del Garante, dunque, per poter conservare i metadati per un periodo maggiore di tempo era necessario ottenere una autorizzazione dell’ispettorato del lavoro o un apposito accordo sindacale.
Il provvedimento aggiornato chiarisce, innanzitutto, cosa sono i “metadati”, tecnicamente “informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni client (MUA = Mail User Agent)”, vale a dire: indirizzi e-mail di mittente e destinatario, indirizzi IP dei server o client coinvolti, orari di invio, ritrasmissione o ricezione, dimensione del messaggio, presenza e dimensione di eventuali allegati e, a volte, l’oggetto del messaggio.
Inoltre, con tale nuovo provvedimento, è stato stabilito che la conservazione dei metadati delle e-mail può avvenire per un periodo massimo di 21 giorni (in luogo dei 7 giorni previsti dal precedente provvedimento). Occorre segnalare che non sono noti gli elementi che hanno portato il Garante a decidere per tale durata e, quindi, se sia stato determinato grazie ai contributi all’esito della consultazione pubblica o da altri elementi tecnici acquisiti. Qualora il datore di lavoro intenda conservare i metadati per un tempo superiore – in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente (in un’ottica di accountability) le specificità della realtà tecnica e organizzativa del titolare – il Garante continua a ritenere che ciò configurerebbe un indiretto controllo a distanza dell’attività dei lavoratori che richiederebbe, pertanto, il ricorso alle procedure di garanzia previste dall’art. 4, comma 1, Statuto dei lavoratori (accordo sindacale o autorizzazione dell’Ispettorato del lavoro).
Con riferimento ai profili di illiceità, la raccolta e la conservazione dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti, per un periodo di tempo esteso e in assenza di idonei presupposti, può determinare la possibilità per il datore di lavoro di acquisire informazioni relative alla sfera personale o alle opinioni dell’interessato, e quindi non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore, in violazione dell’art. 8 Statuto dei Lavoratori (ai sensi del quale è fatto divieto “effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché sui fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore”).
La portata del provvedimento è di notevole impatto per le aziende, infatti i datori di lavoro pubblici e privati dovranno adottare le misure necessarie a conformare i propri trattamenti di dati personali, al fine di prevenire eventuali responsabilità sul piano sia amministrativo che penale. In particolare, spetta al titolare del trattamento (provider) verificare che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente in caso di prodotti di mercato forniti in modalità cloud o as-a-service - consentano al datore di lavoro di rispettare la disciplina di protezione dei dati, anche con riferimento al periodo di conservazione dei metadati indicato nel provvedimento.