Documento di indirizzo: posta elettronica nel contesto lavorativo

ID 22134 | | Visite: 610 | Documenti riservati Full PlusPermalink: https://www.certifico.com/id/22134

Documento di indirizzo posta elettronica nel contesto lavorativo

Documento di indirizzo: gestione posta elettronica nel contesto lavorativo e trattamento dei metadati

ID 22134 | 27.06.2024 / In allegato

Provvedimento del 6 giugno 2024 - Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati (Registro dei provvedimenti n. 364 del 6 giugno 2024)

Nell’ambito di accertamenti condotti dal Garante con riguardo ai trattamenti di dati personali effettuati nel contesto lavorativo è emerso il rischio che programmi e servizi informatici per la gestione della posta elettronica, anche qualora commercializzati da fornitori in modalità cloud, possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti, conservando gli stessi per un esteso arco temporale. Nel seguito del documento si farà riferimento alternativamente ai “metadati di posta elettronica” o “log di posta elettronica”.

I metadati cui fa riferimento il presente documento di indirizzo, sottoposto a consultazione pubblica, corrispondono tecnicamente alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client (le postazioni terminali che effettuano l’invio dei messaggi e che consentono la consultazione della corrispondenza in entrata accedendo ai mailbox elettroniche, definite negli standard tecnici quali MUA – Mail User Agent).

Tali informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto.

I metadati cui ci si riferisce nel presente documento (sia quelli di origine prettamente tecnica sia quelli, come il campo “Oggetto”, determinati dagli utenti) presentano la caratteristica di essere registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utilizzatore.

Gli stessi metadati come qui intesi non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate - ancorché talvolta non immediatamente visibili agli utenti dei software “client” di posta elettronica (i cosiddetti MUA - Mail User Agent) - a formare il cosiddetto envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici. Le informazioni contenute nell’envelope, ancorché corrispondenti a metadati registrati automaticamente nei log dei servizi di posta, sono inscindibili dal messaggio di cui fanno parte integrante e che rimane sotto l’esclusivo controllo dell’utente (sia esso il mittente o il destinatario dei messaggi).

Pertanto, le indicazioni contenute nel documento relativamente ai tempi di conservazione dei metadati come sopra definiti non riguardano i contenuti dei messaggi di posta elettronica (né le informazioni tecniche che ne fanno comunque parte integrante) che rimangono nella disponibilità dell’utente/lavoratore, all’interno della casella di posta elettronica attribuitagli.

Il presente documento non reca prescrizioni né introduce nuovi adempimenti a carico dei titolari del trattamento ma intende offrire una ricostruzione sistematica delle disposizioni applicabili in tale specifico ambito, alla luce di talune precedenti decisioni dell’Autorità, al solo fine di richiamare l’attenzione su alcuni punti di intersezione tra la disciplina di protezione dei dati e le norme che stabiliscono le condizioni per l’impiego degli strumenti tecnologici nei luoghi di lavoro.

In questa prospettiva l’Autorità intende altresì fornire ai datori di lavoro indicazioni in ordine alla possibilità di trattare tali informazioni per consentire il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica, comprese le essenziali garanzie di sicurezza informatica, senza necessità di attivare la procedura di garanzia prevista dall’art. 4, comma 1, l. 20/5/1970, n. 300, espressamente richiamata dall’art. 114 del Codice.

Stante la natura orientativa del documento di indirizzo, dallo stesso non discendono nuovi adempimenti o responsabilità.

[...]

La disciplina di settore in materia di controlli a distanza

L’art. 4, comma 1, l. 20 maggio 1970, n. 300, come modificato dal d.lgs. 14 settembre 2015, n. 151, individua tassativamente le finalità (ovvero quelle organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale) per le quali gli strumenti, dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere impiegati nel contesto lavorativo, stabilendo precise garanzie procedurali (accordo sindacale o autorizzazione pubblica).

Le predette garanzie non trovano invece applicazione “agli strumenti di registrazione degli accessi e delle presenze”, così come “agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” (art. 4, comma 2, l. n. 300/1970). Tale disposizione introduce un’eccezione, rispetto al più restrittivo regime previsto dal comma 1, e deve, pertanto, essere oggetto di stretta interpretazione, considerate le responsabilità anche sul piano penale che possono derivare dalla violazione del predetto quadro normativo. Per scelta espressa del legislatore, solo gli strumenti preordinati, anche in ragione delle caratteristiche tecniche di configurazione, alla “registrazione

degli accessi e delle presenze” e allo “svolgimento della prestazione” non soggiacciono quindi ai limiti e alle garanzie di cui al primo comma, in quanto funzionali a consentire l’assolvimento degli obblighi che discendono direttamente dal contratto di lavoro, vale a dire, la presenza in servizio e l’esecuzione della prestazione lavorativa.

Alla luce delle disposizioni richiamate, affinché sia ritenuto applicabile il comma 2 dell’art. 4 della L. n. 300/1970, l’attività di raccolta e conservazione dei soli metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione, si ritiene che possa essere effettuata, di norma, per un periodo limitato a pochi giorni; a titolo orientativo, tale conservazione non dovrebbe comunque superare i 21 giorni. Sempre nell’ambito della predetta finalità (assicurare il funzionamento delle infrastrutture del sistema della posta elettronica), a cui risulta applicabile il comma 2 dell’art. 4 della L. n. 300/1970, l’eventuale conservazione per un termine ancora più ampio potrà essere effettuata, solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente, in applicazione del principio di accountability previsto dall’art. 5, par. 2, del Regolamento, le specificità della realtà tecnica e organizzativa del titolare. Spetta in ogni caso al titolare adottare tutte le misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati.

Diversamente, la generalizzata raccolta e la conservazione dei log di posta elettronica, per un lasso di tempo più esteso, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta L. n. 300/1970 (v., da ultimo, provv. 1° dicembre 2022, n. 409, doc. web n. 9833530). Resta fermo che anche tale conservazione dovrà avvenire nel rispetto del principio di limitazione della conservazione.

[...] Segue in allegato

Fonte: GPDP

Collegati

Tags: Abbonati Full Plus Sicurezza lavoro Privacy Statuto dei lavoratori

Articoli correlati

Più letti Full Plus

Indirizzi operativi redazione PUMS comuni dai 50 000 ai 100 000 abitanti
Lug 31, 2024 620

Indirizzi operativi redazione PUMS comuni dai 50.000 ai 100.000 abitanti

Indirizzi operativi redazione PUMS comuni dai 50.000 ai 100.000 abitanti ID 22353 | 31.07.2024 / In allegato Indirizzi operativi per la redazione del Piano Urbano di Mobilità Sostenibile (PUMS) per i comuni dai 50.000 ai 100.000 abitanti Il documento si rivolge ai Comuni con popolazione compresa… Leggi tutto
UN Regulation No 129 GUide
Ago 31, 2024 415

UN Regulation No 129 Guide

UN Regulation No 129 Guide ID 22493 | 30.08.2024 Increasing the safety of children in vehicles - For policymakers and concerned citizens Collegati[box-note]Regolamento UNECE n 129Regolamento UNECE n. 44Decreto 15 maggio 2014Direttiva di esecuzione 2014/37/UED.Lgs 285/1992 | Codice della… Leggi tutto
Circolare Ministero dell Interno del 29 novembre 2024 Revisione biennale tachigrafo
Dic 02, 2024 409

Circolare Ministero dell'Interno del 29 novembre 2024 / Revisione biennale tachigrafo

Circolare Ministero dell'Interno del 29 novembre 2024 / Revisione biennale del tachigrafo e aspetti sanzionatori ID 23050 | 02.12.2024 / In allegato Circolare Ministero dell'Interno del 29 novembre 2024 - Richiesta chiarimenti sulla revisione biennale del tachigrafo e aspetti sanzionatori (Circ. n.… Leggi tutto

Ultimi archiviati Full Plus

Circolare Ministero dell Interno del 29 novembre 2024 Revisione biennale tachigrafo
Dic 02, 2024 409

Circolare Ministero dell'Interno del 29 novembre 2024 / Revisione biennale tachigrafo

Circolare Ministero dell'Interno del 29 novembre 2024 / Revisione biennale del tachigrafo e aspetti sanzionatori ID 23050 | 02.12.2024 / In allegato Circolare Ministero dell'Interno del 29 novembre 2024 - Richiesta chiarimenti sulla revisione biennale del tachigrafo e aspetti sanzionatori (Circ. n.… Leggi tutto
UN Regulation No 129 GUide
Ago 30, 2024 415

UN Regulation No 129 Guide

UN Regulation No 129 Guide ID 22493 | 30.08.2024 Increasing the safety of children in vehicles - For policymakers and concerned citizens Collegati[box-note]Regolamento UNECE n 129Regolamento UNECE n. 44Decreto 15 maggio 2014Direttiva di esecuzione 2014/37/UED.Lgs 285/1992 | Codice della… Leggi tutto
Indirizzi operativi redazione PUMS comuni dai 50 000 ai 100 000 abitanti
Lug 31, 2024 620

Indirizzi operativi redazione PUMS comuni dai 50.000 ai 100.000 abitanti

Indirizzi operativi redazione PUMS comuni dai 50.000 ai 100.000 abitanti ID 22353 | 31.07.2024 / In allegato Indirizzi operativi per la redazione del Piano Urbano di Mobilità Sostenibile (PUMS) per i comuni dai 50.000 ai 100.000 abitanti Il documento si rivolge ai Comuni con popolazione compresa… Leggi tutto
Lug 10, 2024 1106

Circolare n. 40 del 20 aprile 1939

Circolare n. 40 del 20 aprile 1939 ID 22223 | 10.04.2024 / Circolare completa testuale allegata riservata Abbonati Full Plus Accertamento generale dei fabbricati urbani e formazione del nuovo Catasto edilizio urbano Il Regio decreto legge in corso di pubblicazione e che si allega alle seguenti… Leggi tutto