Documento di indirizzo: gestione posta elettronica nel contesto lavorativo e trattamento dei metadati

ID 22134 | 27.06.2024 / In allegato

Provvedimento del 6 giugno 2024 - Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati (Registro dei provvedimenti n. 364 del 6 giugno 2024)

Nell’ambito di accertamenti condotti dal Garante con riguardo ai trattamenti di dati personali effettuati nel contesto lavorativo è emerso il rischio che programmi e servizi informatici per la gestione della posta elettronica, anche qualora commercializzati da fornitori in modalità cloud, possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti, conservando gli stessi per un esteso arco temporale. Nel seguito del documento si farà riferimento alternativamente ai “metadati di posta elettronica” o “log di posta elettronica”.

I metadati cui fa riferimento il presente documento di indirizzo, sottoposto a consultazione pubblica, corrispondono tecnicamente alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client (le postazioni terminali che effettuano l’invio dei messaggi e che consentono la consultazione della corrispondenza in entrata accedendo ai mailbox elettroniche, definite negli standard tecnici quali MUA – Mail User Agent).

Tali informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto.

I metadati cui ci si riferisce nel presente documento (sia quelli di origine prettamente tecnica sia quelli, come il campo “Oggetto”, determinati dagli utenti) presentano la caratteristica di essere registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utilizzatore.

Gli stessi metadati come qui intesi non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate - ancorché talvolta non immediatamente visibili agli utenti dei software “client” di posta elettronica (i cosiddetti MUA - Mail User Agent) - a formare il cosiddetto envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici. Le informazioni contenute nell’envelope, ancorché corrispondenti a metadati registrati automaticamente nei log dei servizi di posta, sono inscindibili dal messaggio di cui fanno parte integrante e che rimane sotto l’esclusivo controllo dell’utente (sia esso il mittente o il destinatario dei messaggi).

Pertanto, le indicazioni contenute nel documento relativamente ai tempi di conservazione dei metadati come sopra definiti non riguardano i contenuti dei messaggi di posta elettronica (né le informazioni tecniche che ne fanno comunque parte integrante) che rimangono nella disponibilità dell’utente/lavoratore, all’interno della casella di posta elettronica attribuitagli.

Il presente documento non reca prescrizioni né introduce nuovi adempimenti a carico dei titolari del trattamento ma intende offrire una ricostruzione sistematica delle disposizioni applicabili in tale specifico ambito, alla luce di talune precedenti decisioni dell’Autorità, al solo fine di richiamare l’attenzione su alcuni punti di intersezione tra la disciplina di protezione dei dati e le norme che stabiliscono le condizioni per l’impiego degli strumenti tecnologici nei luoghi di lavoro.

In questa prospettiva l’Autorità intende altresì fornire ai datori di lavoro indicazioni in ordine alla possibilità di trattare tali informazioni per consentire il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica, comprese le essenziali garanzie di sicurezza informatica, senza necessità di attivare la procedura di garanzia prevista dall’art. 4, comma 1, l. 20/5/1970, n. 300, espressamente richiamata dall’art. 114 del Codice.

Stante la natura orientativa del documento di indirizzo, dallo stesso non discendono nuovi adempimenti o responsabilità.

[...]

La disciplina di settore in materia di controlli a distanza

L’art. 4, comma 1, l. 20 maggio 1970, n. 300, come modificato dal d.lgs. 14 settembre 2015, n. 151, individua tassativamente le finalità (ovvero quelle organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale) per le quali gli strumenti, dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere impiegati nel contesto lavorativo, stabilendo precise garanzie procedurali (accordo sindacale o autorizzazione pubblica).

Le predette garanzie non trovano invece applicazione “agli strumenti di registrazione degli accessi e delle presenze”, così come “agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” (art. 4, comma 2, l. n. 300/1970). Tale disposizione introduce un’eccezione, rispetto al più restrittivo regime previsto dal comma 1, e deve, pertanto, essere oggetto di stretta interpretazione, considerate le responsabilità anche sul piano penale che possono derivare dalla violazione del predetto quadro normativo. Per scelta espressa del legislatore, solo gli strumenti preordinati, anche in ragione delle caratteristiche tecniche di configurazione, alla “registrazione

degli accessi e delle presenze” e allo “svolgimento della prestazione” non soggiacciono quindi ai limiti e alle garanzie di cui al primo comma, in quanto funzionali a consentire l’assolvimento degli obblighi che discendono direttamente dal contratto di lavoro, vale a dire, la presenza in servizio e l’esecuzione della prestazione lavorativa.

Alla luce delle disposizioni richiamate, affinché sia ritenuto applicabile il comma 2 dell’art. 4 della L. n. 300/1970, l’attività di raccolta e conservazione dei soli metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione, si ritiene che possa essere effettuata, di norma, per un periodo limitato a pochi giorni; a titolo orientativo, tale conservazione non dovrebbe comunque superare i 21 giorni. Sempre nell’ambito della predetta finalità (assicurare il funzionamento delle infrastrutture del sistema della posta elettronica), a cui risulta applicabile il comma 2 dell’art. 4 della L. n. 300/1970, l’eventuale conservazione per un termine ancora più ampio potrà essere effettuata, solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente, in applicazione del principio di accountability previsto dall’art. 5, par. 2, del Regolamento, le specificità della realtà tecnica e organizzativa del titolare. Spetta in ogni caso al titolare adottare tutte le misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati.

Diversamente, la generalizzata raccolta e la conservazione dei log di posta elettronica, per un lasso di tempo più esteso, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta L. n. 300/1970 (v., da ultimo, provv. 1° dicembre 2022, n. 409, doc. web n. 9833530). Resta fermo che anche tale conservazione dovrà avvenire nel rispetto del principio di limitazione della conservazione.

[...] Segue in allegato

Fonte: GPDP

Collegati

	Descrizione	Livello	Dimensione	Downloads
	Documento di indirizzo - Provvedimento GPDP del 6 giugno 2024.pdf	Abbonati Full Plus	60 kB	19