Trattamento dei metadati contenuti nelle e-mail dei dipendenti: tempi di conservazione dei dati

meta dati 1

Il Garante Privacy ha approvato un Documento di indirizzo relativamente ai “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”. Il documento è stato adottato al fine di fornire indicazioni ai datori di lavoro pubblici e privati e agli altri soggetti a vario titolo coinvolti, al fine di promuovere la consapevolezza delle scelte, anche organizzative, dei titolari del trattamento, nonché a prevenire trattamenti di dati in contrasto con la disciplina in materia di protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori (artt. 113-114 Codice Privacy).

Il Documento sopra citato è stato modificato da un successivo Documento del Garante Privacy adottato il 6 giugno 2024.

sistemainformatico

1. Cosa sono i sistemi informatici di posta elettronica e i metadati?

Un sistema informatico di gestione della posta elettronica, noto anche come sistema di posta elettronica o client di posta elettronica, è un’applicazione software che consente agli utenti di inviare, ricevere, organizzare e gestire le proprie e-mail. Questi sistemi forniscono un’interfaccia utente per accedere alle caselle di posta elettronica, visualizzare i messaggi ricevuti, comporre nuovi messaggi, rispondere ai messaggi esistenti e organizzare la posta in arrivo. Esistono diversi sistemi informativi di gestione della posta elettronica, uno dei più noti è Gmail.

metadati sono informazioni strutturate che forniscono dettagli descrittivi su altri dati. In sostanza, sono “dati sui dati”. I metadati forniscono contesto e significato ai dati principali, aiutando a organizzarli, a comprenderli e a utilizzarli in modo più efficiente. Nelle e-mail, i metadati possono includere, ad esempio, informazioni come l’indirizzo e-mail del mittente e del destinatario, l’oggetto dell’e-mail, la data e l’ora di invio e di ricezione, i server di posta attraverso cui è passata l’e-mail, gli allegati.

2. Il rischio accertato dal Garante Privacy

Il Garante ha adottato il documento di indirizzo sopra citato dopo aver accertato il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possono raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail), conservando gli stessi per un esteso arco temporale. Il Garante evidenzia, inoltre, come questi sistemi non sempre permettano al datore di lavoro di modificare le impostazioni del sistema di posta elettronica, al fine di ridurre il periodo di conservazione degli stessi. 

A tal proposito, il Garante Privacy ha più volte affermato che il contenuto dei messaggi di posta elettronica– come pure i dati esteriori delle comunicazioni e i file allegati – siano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente (artt. 2 e 15 Cost.). Pertanto,  anche nel contesto lavorativo pubblico e privato, sussiste una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza (v. punto 5.2 lett. b), delle “Linee guida del Garante per posta elettronica e Internet” del 1° marzo 2007, n. 13, doc. web n. 1387522; cfr., tra i tanti, provv. 4 dicembre 2019, n. 216, doc. web n. 9215890 e i precedenti in esso citati).

e mail

3. Obblighi “privacy” del datore di lavoro

Il datore di lavoro, in qualità di titolare del trattamento,  è tenuto a rispettare i principi generali del trattamento dei dati personali (artt. 5, 24 e 25 del Regolamento UE 679-2016) e a porre in essere tutti gli adempimenti previsti dalle disposizioni normative in materia di protezione dei dati personali (artt. 12, 13, 14, 30, 32 e 35 del Regolamento UE 679-2016). Il titolare deve fornire agli interessati – prima di effettuare il trattamento – in modo trasparente, una chiara rappresentazione del trattamento effettuato, consentendo agli stessi di disporre di tutti gli elementi informativi essenziali previsti dal Regolamento UE 679-2016. 

È doveroso ricordare, inoltre, come in attuazione del principio di “responsabilizzazione” (cfr. art. 5, par. 2, e 24 del Regolamento UR 679-2016), spetti al titolare valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche – in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalità perseguite – che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali (cfr. cons. 90 e artt. 35 e 36 del Regolamento). 

L’utilizzo dei citati servizi informatici dà luogo a “trattamenti” di dati personali riferiti a “interessati” identificati o identificabili (art. 4, par. 1, nn. 1) e 2), del Regolamento) nel contesto lavorativo. Per tale motivo, è necessario che il datore di lavoro, in quanto titolare del trattamento, verifichi la sussistenza di un idoneo presupposto di liceità (cfr. artt. 5, par. 1, lett. a) e 6 del Regolamento) prima di effettuare trattamenti di dati personali dei lavoratori attraverso sistemi informatici di gestione della posta elettronica

4. Quali sono i Metadati a cui si riferisce il Garante Privacy?

Il rischio esaminato dal Garante Privacy è connesso all’utilizzo dei programmi e servizi informatici per la gestione della posta elettronica, anche qualora commercializzati da fornitori in modalità cloud. Ad esempio, gmail, libero. Tale rischio consiste nella possibilità che vengano raccolti per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (“Metadati di posta elettronica o log di posta elettronica”), conservando gli stessi per un esteso arco temporale. 

In particolare, i Metadati cui fa riferimento il documento di indirizzo del Garante Privacy, corrispondono tecnicamente alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agente dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client (le postazioni terminali che effettuano l’invio dei messaggi e che consentono la consultazione della corrispondenza in entrata accedendo ai mailbox elettroniche, definite negli standard tecnici quali MUA – Mail User Agent). 

Tali informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi possono comprendere gli indirizzi e-mail del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto

I metadati di cui sopra, presentano la caratteristica di essere registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utilizzatore. 

Tali dati (Metadati) non vanno confusi in alcun modo con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate a formare il cosiddetto envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici.

Le informazioni contenute nell’envelope, ancorché corrispondenti a metadati registrati automaticamente nei log dei servizi di postasono inscindibili dal messaggio di cui fanno parte integrante e che rimane sotto l’esclusivo controllo dell’utente (sia esso il mittente o il destinatario dei messaggi). 

Pertanto, le indicazioni del Garante Privacy relativamente ai tempi di conservazione dei Metadati come sopra definiti, non riguardano i contenuti dei messaggi di posta elettronica (né le informazioni tecniche che ne fanno comunque parte integrante) che rimangono nella disponibilità dell’utente/lavoratore, all’interno della casella di posta elettronica attribuitagli.

5. Quando sussiste un controllo a distanza del datore di lavoro?

L’art. 4, comma 1, l. 20 maggio 1970, n. 300, come modificato dal d.lgs. 14 settembre 2015, n. 151, individua tassativamente le finalità (ovvero quelle organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale) per le quali gli strumenti, dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere impiegati nel contesto lavorativo, stabilendo precise garanzie procedurali (accordo sindacale o autorizzazione pubblica). 

Le predette garanzie non trovano invece applicazione “agli strumenti di registrazione degli accessi e delle presenze”, così come “agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” (art. 4, comma 2, l. n. 300/1970). 

Ciò premesso, affinché sia ritenuto applicabile il comma 2 dell’art. 4 della L. n. 300/1970, l’attività di raccolta e conservazione dei soli metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, si ritiene che possa essere effettuata, di norma, per un periodo non superiore a 21 giorni.

L’eventuale conservazione per un periodo superiore a 21 giorni (ma predeterminato) potrà essere effettuata solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente (in applicazione del principio di accountability previsto dall’art. 5, par. 2, GDPR), le specificità della realtà tecnica e organizzativa del titolare

Diversamente, la generalizzata raccolta e la conservazione dei log di posta elettronica, per un lasso di tempo più esteso, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta L. n. 300/1970

Il datore di lavoro dovrà verificare la sussistenza dei presupposti di liceità stabiliti dall’art. 4 della l. 20 maggio 1970, n. 300, cui fa rinvio l’art. 114 del Codice Privacy (D.Lgs. n. 196/2003), nonché il rispetto delle diposizioni che vietano al datore di lavoro di acquisire e comunque trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata (art. 8 della l. 20 maggio 1970, n. 300 e art. 10 d.lgs. 10 settembre 2003, n. 276, cui fa rinvio l’art. 113 del Codice Privacy).

L’art. 4, comma 1, dello Statuto dei Lavoratori stabilisce tassativamente le ipotesi in cui il datore di lavoro può utilizzare strumenti di controllo a distanza dei lavoratori, cioè per perseguire specifiche finalità organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale, a condizione che il datore di lavoro rispetti specifiche garanziei) promuova un accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali o, in alternativa, ii) ottenga una preventiva autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro (o dalla sede centrale nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali)

6. Le misure tecniche e organizzative che deve adottare il datore di lavoro

Il Titolare del trattamento, anche quando utilizza prodotti o servizi realizzati da terzi, deve verificare, anche avvalendosi del supporto del DPO, ove designato, la conformità ai principi applicabili al trattamento dei dati (art. 5 GDPR) adottando, nel rispetto del principio di responsabilizzazione, le opportune misure tecniche e organizzative e impartendo le necessarie istruzioni al fornitore del servizio (cfr. artt. 5, par. 2, 24, 25 e 32 del Regolamento; cfr., con riguardo a specifici trattamenti in ambito lavorativo, provv.ti 28 ottobre 2021, n. 384, doc. web n. 9722661, e 10 giugno 2021, n. 235, doc. web n. 9685922; ma v. anche provv. 17 dicembre 2020, n. 282, doc. web n. 9525337). 

Il Titolare del trattamento deve quindi accertare che siano disattivate le funzioni che non sono compatibili con le proprie finalità del trattamento o che si pongono in contrasto con specifiche norme di settore, ad esempio, commisurando adeguatamente anche i tempi di conservazione dei dati ovvero chiedendo al fornitore del servizio di anonimizzare i metadati raccolti nei casi in cui non si intenda effettuare una conservazione più prolungata degli stessi. È compito del Titolare del trattamento verificare che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service – consentano al cliente (datore di lavoro) di rispettare la disciplina di protezione dei dati, anche con riguardo al periodo di conservazione dei Metadati.

cosadevefaredatorelavoro

7. Cosa deve fare “in concreto” il datore di lavoro?

Riassumiamo qui di seguito gli step che dovrebbe seguire il datore di lavoro:

  1. 1) dovrà valutare se i trattamenti che intende realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, anche in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalità perseguite, tali da rendere necessaria una preventiva valutazione di impatto sulla protezione dei dati personali;
  2. 2) in particolare, dovrà verificare se i sistemi informatici di posta elettronica che si intendono utilizzare diano la possibilità di regolare l’impostazione sui metadati e i tempi di conservazione degli stessi; qualora non fosse possibile, dovrà cessare l’utilizzo di quel sistema informatico;
  3. 3) o, in alternativa, se intende trattare i metadati relativi all’utilizzo della posta elettronica dei dipendenti e conservarli per un arco temporale superiore a 21 giorni (ma predeterminato) dovrà comprovare la specificità della realtà tecnica e organizzativa;
  4. 4) se il Titolare intende procedere in modo generalizzato alla raccolta e conservazione dei log di posta elettronica per un lasso di tempo più esteso dovrà promuovere un accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali o, in alternativa, ottenere una preventiva autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro (o dalla sede centrale nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali). 

8. Sanzioni

dati

Se il datore di lavoro, qualora obbligato, non attiva le garanzie previste dallo Statuto dei Lavoratori prima di dare avvio alla preventiva e sistematica raccolta dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti e alla conservazione degli stessi per un arco temporale superiore a 21 giorni realizzerà un trattamento illecito dei dati personali, esponendosi alle conseguenti sanzioni.

In particolare, la mancata attivazione delle garanzie previste dallo Statuto dei lavoratori – nell’ipotesi sopra descritta – espone il datore di lavoro alle sanzioni di cui all’art. 38 dello Statuto, che prevede, salvo che il fatto non costituisca più grave reato, l’ammenda da euro 154 a euro 1549 o l’arresto da 15 giorni ad un anno.

***

avv. Gianfranco Leggio

(Tutti i diritti riservati)

Aggiornato al 6 giugno 2024

Se hai bisogno di assistenza per applicare il Documento di Indirizzo del Garante Privacy: Prenota una Consulenza

top