Il 6 giugno 2024, il Garante Privacy ha rilasciato un aggiornamento significativo al “Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”. Questo aggiornamento, sviluppato in seguito a una consultazione pubblica, chiarisce e migliora il documento precedente del 22 febbraio 2024, che aveva suscitato diverse critiche da parte di esperti del settore.
Indice dei contenuti
Origine del documento di indirizzo
La creazione del Documento di indirizzo deriva da una serie di accertamenti sui trattamenti dei dati personali in ambito lavorativo. Il Garante ha rilevato che i programmi e i servizi informatici di gestione della posta elettronica in modalità cloud potrebbero raccogliere automaticamente e in modo generalizzato i metadati degli account e-mail dei dipendenti, conservandoli a lungo senza adeguati controlli.
Il primo Documento di indirizzo, pubblicato il 22 febbraio 2024, è stato aggiornato per ribadire che queste sono linee guida e che ogni organizzazione, nel rispetto del principio di accountability, può adottare misure e impostazioni differenti per il proprio sistema di posta elettronica.
Ambito di applicazione: i Log di comunicazione elettronica
A seguito delle critiche ricevute durante la consultazione pubblica, il Garante ha circoscritto l’applicabilità del documento ai soli metadati registrati nei log di comunicazione elettronica. Questi metadati includono informazioni come gli indirizzi email del mittente e del destinatario, gli indirizzi IP, gli orari di invio e ricezione, la dimensione del messaggio e degli eventuali allegati.
Questi dati sono registrati automaticamente dai sistemi di posta elettronica e devono essere trattati in conformità con il Documento di indirizzo, che stabilisce un periodo di conservazione limitato e individua la corretta finalità del trattamento.
I due aspetti chiave del nuovo Documento di indirizzo riguardano il periodo di conservazione dei log, ora fissato a 21 giorni, e la stretta connessione di questa attività con le disposizioni della L. 300/1970 (Statuto dei Lavoratori).
Secondo l’articolo 4 dello Statuto dei Lavoratori, i sistemi che permettono il controllo a distanza dell’attività dei lavoratori devono essere attivati solo dopo specifiche garanzie procedurali. Tuttavia, i sistemi di registrazione degli accessi e delle presenze, e quelli utilizzati dal lavoratore per la prestazione lavorativa, sono esenti da queste garanzie.
Il Garante ha stabilito che la raccolta e conservazione dei metadati deve avvenire esclusivamente per assicurare il funzionamento delle infrastrutture del sistema di posta elettronica e, di norma, per un periodo non superiore a 21 giorni. Tuttavia, in casi particolari, questo termine può essere esteso se il Titolare può dimostrare la necessità dell’estensione.
Qualsiasi raccolta e conservazione dei metadati per finalità diverse deve rispettare le garanzie previste dall’articolo 4, comma 1 dello Statuto dei Lavoratori.
Criticità del documento di indirizzo: preoccupazioni e fraintendimenti
Nonostante i miglioramenti, il Documento ha suscitato diverse preoccupazioni. Una delle principali critiche riguarda la sicurezza informatica. I log delle e-mail sono essenziali per rilevare potenziali attacchi informatici, come quelli causati da ransomware, che potrebbero richiedere mesi per essere identificati. Pertanto, limitare l’accesso ai log a 21 giorni potrebbe compromettere la sicurezza.
Un’altra critica riguarda l’importanza operativa della posta elettronica in ambito lavorativo. La cancellazione dei dati e delle informazioni relative a un messaggio di posta potrebbe influire negativamente sulla gestione delle attività aziendali.
Chiarimenti
Il Garante ha specificato che l’ambito di applicazione del documento riguarda esclusivamente i log di comunicazione elettronica e non il contenuto dei messaggi di posta elettronica (il c.d. “envelope”). Questo significa che le analisi di sicurezza informatica e le informazioni sullo scambio di e-mail possono essere ottenute consultando i messaggi di posta elettronica e i rispettivi metadati, nonché cancellando solo i log di recapito e ricezione dei messaggi.
Il Garante ha inoltre sottolineato che il Provvedimento si concentra sulla forma dei dati piuttosto che sui dati stessi. Anche se un’e-mail e i relativi metadati possono essere cancellati, i metadati potrebbero sopravvivere come log di comunicazione presso il fornitore del servizio di posta elettronica, rendendo possibile il controllo a distanza dei lavoratori.
Il nuovo Documento di indirizzo del Garante Privacy rappresenta un passo avanti nella regolamentazione della gestione dei metadati della posta elettronica in ambito lavorativo, affrontando importanti questioni legate alla protezione dei dati e alla privacy. Tuttavia, le critiche ricevute evidenziano la necessità di un equilibrio tra sicurezza informatica, operatività aziendale e tutela dei diritti dei lavoratori.
