Conservazione dei metadati della posta elettronica negli ambiti lavorativi: aggiornato il documento di indirizzo del Garante privacy
Il Garante per la protezione dei dati personali ha pubblicato una nuova versione del documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”. L’aggiornamento fa seguito all’organizzazione della consultazione pubblica indetta a fine febbraio con lo scopo di recepire osservazioni e proposte utili a rivedere la prima stesura del documento, a sua volta rilasciata a fine 2023.
Tra le principali novità della nuova versione, nell’introduzione il Garante precisa che, vista la sua natura orientativa e di indirizzo, il documento“non reca prescrizioni né introduce nuovi adempimenti a carico dei titolari del trattamento ma intende offrire una ricostruzione sistematica delle disposizioni applicabili in tale specifico ambito, alla luce di talune precedenti decisioni dell’Autorità, al solo fine di richiamare l’attenzione su alcuni punti di intersezione tra la disciplina di protezione dei dati e le norme che stabiliscono le condizioni per l’impiego degli strumenti tecnologici nei luoghi di lavoro”.
Un altro significativo cambiamento rispetto alla formulazione originaria riguarda l’estensione a 21 giorni, rispetto ai 9 inizialmente suggeriti, del periodo massimo di conservazione dei metadati necessari ad assicurare il funzionamento delle infrastrutture di posta elettronica, dai quali è possibile risalire, tra le altre cose, a informazioni relative all’utilizzo della posta elettronica da parte dei dipendenti come il giorno, la data e l’ora di produzione dei messaggi, i loro mittenti e destinatari e l’oggetto delle comunicazioni.
“Inoltre, nel documento - si legge in un approfondimento a firma di Andrea Lisi per Agenda Digitale - viene correttamente precisato che tale periodo (...) vada valutato nel proprio specifico contesto, applicando i vari princìpi generali del GDPR che vengono puntualmente ricordati e concretizzati in questo ambito. Ovviamente grande rilevanza viene accordata ai principi di trasparenza, di data retention commisurata al conseguimento delle finalità per cui i dati sono trattati e di privacy by design e privacy by default”.
Nell’approfondimento, Lisi sottolinea anche una chiamata in causa più decisa dei fornitori di piattaforme e servizi di posta elettronica, ai quali il Garante raccomanda di progettare soluzioni in grado di garantire tecnicamente il principio della “privacy by design”.
“In particolare - scrive Lisi - il Garante precisa che ‘i fornitori (ndr. dei servizi e delle applicazioni di posta elettronica), pertanto, devono contribuire a far sì che i titolari del trattamento possano adempiere ai loro obblighi di protezione dei dati, contemperando le esigenze di commercializzazione su larga scala dei propri prodotti con la conformità degli stessi ai principi del Regolamento, anche nella prospettiva di migliorare il prodotto offerto, sotto il profilo della sua maggiore conformità al Regolamento’. Per poi proseguire specificando che ‘spetta al titolare del trattamento verificare che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service – consentano al cliente (datore di lavoro) di rispettare la disciplina di protezione dei dati nei termini indicati nel presente documento di indirizzo, anche con riguardo al periodo di conservazione dei metadati’”.