Cancellazione dei metadati delle mail dei dipendenti: un ripensamento dal Garante Privacy

Ma facciamo un passo indietro.

A febbraio era stato pubblicato il provvedimento del Garante che prevedeva dava indicazioni ai datori di lavoro, privati e pubblici, sui rischi dei trattamenti relativi ai metadati in relazione ai diritti e libertà degli interessati. In particolare, il documento indicava nel termine di 7 giorni il limite massimo di conservazione dei metadati relativi alle mail dei dipendenti (v. Alovisio, L'utilizzo dei metadati della posta elettronica nel contesto lavorativo).

Il provvedimento aveva sollevato molte perplessità e richieste di chiarimento (v. Metadati delle email aziendali: per Confindustria, Ania, Abi e Confcommercio necessaria più autonomia) alle quali l'Autorità ha dato seguito con l'avvio di una consultazione pubblica (v. Il Garante avvia una consultazione sulla conservazione dei metadati degli account mail dei lavoratori).

Con il nuovo provvedimento datato 6 giugno 2024, il Garante ha mostrato di aver tenuto in considerazione le osservazioni e le proposte ricevute apportando «specifiche modifiche e integrazioni al predetto documento di indirizzo, nella prospettiva di agevolare, altresì, la comprensione dell'ambito dei trattamenti presi in considerazione e delle indicazioni fornite al fine di promuovere la consapevolezza delle scelte tecniche e organizzative dei datori di lavoro, in qualità di titolari del trattamento».

Nella versione aggiornata del documento di indirizzo, viene rivista lo nozione di metadati rientranti nell'ambito di applicazione: si tratta delle informazioni tecnicamente «registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni nell'interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client», come ad esempio gli indirizzi mail del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti, gli orari di invio, di ritrasmissione o di ricezione ma anche la dimensione del messaggio e la presenza e la dimensione di eventuali allegati.

Si tratta dunque di dati registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell'utilizzatore. Questi metadati «non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate». In altre parole, il contenuto delle mail resta nella disponibilità dell'utente/lavoratore, all'interno della casella di posta elettronica attribuitagli.

Il documento precisa anche la sua natura. Il testo infatti «non reca prescrizioni né introduce nuovi adempimenti a carico dei titolari del trattamento ma intende offrire una ricostruzione sistematica delle disposizioni applicabili in tale specifico ambito, alla luce di talune precedenti decisioni dell'Autorità». Da queste linee di indirizzo non discendono dunque nuovi adempimenti o responsabilità.

Nel dettaglio, il nuovo documento prevede che «l'attività di raccolta e conservazione dei soli metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, all'esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione, si ritiene che possa essere effettuata, di norma, per un periodo limitato a pochi giorni; a titolo orientativo, tale conservazione non dovrebbe comunque superare i 21 giorni».

Al fine di assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, in applicazione del comma 2 dell'art. 4 l. n. 300/1970, l'eventuale conservazione per un termine più ampio può essere effettuata solo in presenza di particolari condizioni che ne rendano necessaria l'estensione, adeguatamente comprovate e in applicazione del principio di accountability previsto dall'art. 5, par. 2, del Regolamento.

(Fonte: Diritto e Giustizia)