Conservazione dei metadati della posta elettronica negli ambiti lavorativi: le novità nell’aggiornamento del documento di indirizzo del Garante privacy
Sul sito di Forum PA, un approfondimento a firma di Patrizia Cardillo fa il punto sull’aggiornamento del documento di indirizzo del Garante per la protezione dei dati personali in materia di gestione della posta elettronica e trattamento dei metadati nei contesti lavorativi. Di seguito l’introduzione.
“Il Garante per la protezione dei dati personali (di seguito: Garante) nello scorso mese di febbraio aveva avviato una consultazione pubblica sul Documento di indirizzo ‘Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati’, adottato lo scorso 21 dicembre 2023, n. 642, che aveva aperto un ampio dibattito tra gli esperti del settore e sollevato non poche criticità.
Il nuovo provvedimento del Garante
Al termine della consultazione il Garante (di seguito: Garante), con il provvedimento n. 346 del 6 giugno 2024, ha adottato, alla luce delle osservazioni pervenute, una versione aggiornata con l’obiettivo dichiarato di orientare le scelte dei datori di lavoro al fine di assicurare il corretto funzionamento e il regolare utilizzo di uno strumento essenziale per l’organizzazione aziendale. Interessanti le novità.
La definizione
Si delimita più chiaramente l’ambito di applicazione: i metadati oggetto del documento, non sono le informazioni contenute nel corpo del messaggio di posta elettronica, ma quelle registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica e dalle postazioni clienti. Come già riportava il Documento dello scorso dicembre, sono gli indirizzi email del mittente e del destinatario, l’IP dei server o dei client coinvolti, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in determinati casi, l’oggetto del messaggio spedito o ricevuto. Tali metadati presentano la caratteristica di essere registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utilizzatore.
La dichiarazione di principio
Il Garante sottolinea, comunque, che il Documento di indirizzo non prevede nuovi adempimenti o nuove responsabilità per i titolari ma intende, al contrario, offrire una ricostruzione sistematica delle disposizioni applicabili in tale specifico ambito, al fine di richiamare l’attenzione su alcuni punti d’intersezione tra la disciplina di protezione dei dati e le norme che stabiliscono le condizioni per l’impiego degli strumenti tecnologici nei luoghi di lavoro”.
L’aggiornamento del documento di indirizzo è stato oggetto di un ulteriore approfondimento su Altalex, con il contributo “Metadati, tra protezione dei dati e condizioni d'impiego di strumenti tecnologici nei luoghi di lavoro” a firma di Luca Iadecola.