Conservazione dei Metadati delle e-mail dei dipendenti – Fissati Limiti dal Garante

Documento di indirizzo del Garante per la protezione dei dati personali.

Il Garante per la protezione dei dati personali, allo scopo limitare la possibilità che specifici programmi per la gestione della posta elettronica permettano, in via generalizzata e senza limiti di tempo, di conservare alcuni dati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti, cd Metadati (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email), ha emesso un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” indirizzato ai datori di lavoro, titolari del trattamento, sia in ambito pubblico che privato.

Secondo tale documento del 21 dicembre 2023 l’attività di raccolta e conservazione dei soli metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, nel rispetto del comma 2 dell’art. 4 della L. n. 300/1970, sia con sistemi locali che in cloud, non può essere superiore di norma a poche ore o ad alcuni giorni, in ogni caso non oltre sette giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore.

Con tale documento il Garante ha chiesto quindi ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione, e ha invitato i produttori dei servizi e delle applicazioni, in fase di sviluppo e progettazione degli stessi, a tenere conto del diritto alla protezione dei dati tenuto conto dello stato dell’arte, permettendo ai datori di lavoro di adeguarsi alle linee guida.

Autorizzazione alla dilazione nel tempo

Nel caso invece che i datori di lavoro, per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare (a esempio, per specifiche esigenze di sicurezza dei sistemi) avessero necessità di trattare i metadati per un periodo di tempo più esteso, dovranno espletare le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro). L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante (max 9 giorni) può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore.

In ogni caso, deve essere assicurata la necessaria trasparenza fornendo ai lavoratori una specifica informativa sul trattamento dei dati personali prima di dare inizio al trattamento. l’Adempimento di tale obbligo informativo costituisce anche una specifica precondizione per il lecito utilizzo dei dati raccolti attraverso strumenti tecnologici, da parte del datore di lavoro.

Precisazioni Tecniche

Si precisa comunque che oggetto di tale provvedimento non sono tutti i contenuti delle e-mail, ma i loro metadati (come prima specificato), quindi le e-mail e i loro contenuti già presenti nei computer non sono sottoposti all’obbligo di cancellazione. Altra cosa da precisare è che la cancellazione dei metadati da parte del datore di lavoro riguarda solo la posta elettronica in uso esclusivo al dipendente, non tutta la posta elettronica in uso al titolare del trattamento.

Bisogna purtroppo considerare che, dal punto di vista tecnico, l’applicazione di questo provvedimento, allo stato attuale, snaturerebbe quasi completamente le informazioni sulla posta elettronica presenti sul client di posta, sia in locale che in cloud, privandole di quegli elementi indispensabili per la indicizzazione, e molti sono stati i rilievi a tal proposito sollevati da parte di Datori di lavoro pubblici e privati, esperti della disciplina di protezione dei dati e tutti i soggetti interessati.

La Corte di Cassazione Penale

Paradossalmente negli stessi giorni La Corte di Cassazione, in sede penale (sez. II – 13/12/2023, n. 6333), ha affermato invece la piena utilizzabilità, nei confronti del lavoratore dei dati personali e delle immagini conservate oltre un dato periodo. La vicenda aveva ad oggetto un procedimento intentato nei confronti di un lavoratore accusato di vari comportamenti illeciti. Tra le fonti di prova erano stati utilizzati anche strumenti di controllo a distanza del lavoratore (videoregistrazioni) che avevano permesso la conservazione dei dati per un periodo superiore a quanto previsto dalle disposizioni in materia di trattamento dei dati personali, in palese violazione degli obblighi ex art. 4. Secondo la Corte, però, la tutela accordata dalla legge alla riservatezza non è assoluta e cede dinanzi alle esigenze di tutela della collettività e, in specie, alle esigenze di accertamento probatorio proprie del processo penale. E’, comunque, da osservare che l’esito di questa sentenza è da considerare come l’eccezione e non la regola, di fronte a prevalenti interessi del diritto derivanti da controlli difensivi di rilevanza penale.

Sospensione per Consultazione Pubblica

Il Garante, comunque, Per rispondere alle numerose richieste di chiarimenti e segnalazioni ricevute, con ulteriore provvedimento n. 127 del 22 febbraio 2024, ha sospeso il suo precedente provvedimento sulla conservazione dei metadati degli account dei servizi di posta elettronica dei lavoratori e ha avviato una consultazione con cui datori di lavoro pubblici e privati, esperti della disciplina di protezione dei dati e tutti i soggetti interessati avranno a disposizione 30 giorni per inviare al Garante le proprie osservazioni, i commenti, le informazioni, le proposte e tutti gli elementi ritenuti utili a effettuare una più specifica analisi della tematica.

Massimo Bruno

Cookie	Durata	Descrizione
cookielawinfo-checkbox-advertisement	1 anno	Impostato dal plugin GDPR Cookie Consent, questo cookie viene utilizzato per registrare il consenso dell'utente per i cookie nella categoria "Pubblicità".
cookielawinfo-checkbox-analytics	11 mesi	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Analytics".
cookielawinfo-checkbox-functional	11 mesi	Il cookie è impostato dal consenso cookie GDPR per registrare il consenso dell'utente per i cookie nella categoria "Funzionali".
cookielawinfo-checkbox-necessary	11 mesi	Questo cookie è impostato dal plug-in GDPR Cookie Consent. I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Necessari".
cookielawinfo-checkbox-others	11 mesi	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Altri".
cookielawinfo-checkbox-performance	11 mesi	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Prestazioni".
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	sessione	Utilizzato da siti scritti in JSP. Cookie di sessione della piattaforma per scopi generici che vengono utilizzati per mantenere lo stato degli utenti attraverso le richieste di pagina.
viewed_cookie_policy	11 mesi	Il cookie è impostato dal plug-in GDPR Cookie Consent e viene utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.
wpEmojiSettingsSupports	session	WordPress sets this cookie when a user interacts with emojis on a WordPress site. It helps determine if the user's browser can display emojis properly.