Conservazione dei metadati della posta elettronica negli ambiti lavorativi: pubblicato un documento del Garante per la protezione dei dati personali
A seguito di alcune attività di accertamento, lo scorso 21 dicembre il Garante per la protezione dei dati personali ha pubblicato il documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”.
Il documento fornisce indicazioni ai datori di lavoro pubblici e privati, e a chi per conto loro ha responsabilità in materia di protezione dei dati, sulle modalità di trattamento e conservazione dei metadati derivanti dall’utilizzo, da parte dei dipendenti, dei programmi di posta elettronica commercializzati dai fornitori in modalità cloud. Nel dettaglio, tali metadati permettono di risalire a svariate tipologie di informazioni relative all’utilizzo della posta elettronica da parte dei dipendenti, quali ad esempio il giorno, la data e l’ora di produzione dei messaggi, i loro mittenti e destinatari, l’oggetto delle comunicazioni e le dimensioni delle mail.
Il Garante ha precisato che l’intervento si è reso necessario perché i programmi di posta elettronica in esame spesso pongono limitazioni ai datori di lavoro per ciò che concerne la possibilità di modificarne le impostazioni di base, con particolare riferimento alla possibilità di disabilitare la raccolta sistematica dei metadati, o ridurre il loro periodo di conservazione.
Partendo da questi presupposti, il Garante ha formulato una serie di raccomandazioni sul trattamento dei metadati, ritenuti necessari per assicurare il rispetto della normativa nazionale e delle regole europee in materia di protezione dei dati.
Sintetizzando i principi e contenuti dell’intervento, il Garante ha disposto che per prevenire rischi di quello che viene definito “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti (...) l’attività di raccolta e conservazione dei soli c.d. metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, non può essere superiore di norma a poche ore o ad alcuni giorni, in ogni caso non oltre sette giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore”.
“Diversamente - si legge nel documento - la generalizzata raccolta e la conservazione di tali metadati, per un lasso di tempo più esteso – ancorché sul presupposto della sua necessità per finalità di sicurezza informatica e tutela dell’integrità del patrimonio, anche informativo, del datore di lavoro -, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta l. n. 300/1970(...). Resta fermo che anche tale conservazione dovrà avvenire nel rispetto del principio di limitazione della conservazione”.
In un successivo passaggio, il Garante precisa che “i tempi di conservazione dei metadati devono in ogni caso essere proporzionati rispetto alle legittime finalità perseguite. In particolare, finalità connesse alla sicurezza informativa e alla tutela del patrimonio informativo giustificano la conservazione dei metadati per un arco temporale congruo rispetto all’obiettivo di rilevare e mitigare eventuali incidenti di sicurezza, adottando tempestivamente le opportune contromisure. Ove i tempi di conservazione non siano definiti in maniera proporzionata alle finalità del trattamento, il titolare del trattamento può incorrere nella violazione del principio di ‘limitazione della conservazione’ (art. 5, par. 1, lett. e), del Regolamento).
In particolare - prosegue il documento - si rende necessario verificare con la dovuta diligenza che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti - specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service - consentano al cliente (datore di lavoro) di modificare le impostazioni di base, impedendo la raccolta dei predetti metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di sette giorni, estensibile di ulteriori 48 ore, alle condizioni indicate al par. 3.
In tale prospettiva, si invitano i produttori dei servizi e delle applicazioni, in fase di sviluppo e progettazione degli stessi, a tenere conto del diritto alla protezione dei dati tenuto conto dello stato dell’arte (v. cons. 78 del Regolamento).
Diversamente, i datori di lavoro pubblici o privati, in qualità di titolari del trattamento, dovranno alternativamente, nel caso in cui i trattamenti di dati personali in questione si dovessero comunque rendere necessari per il perseguimento di esigenze organizzative o produttive, espletare le richiamate procedure di garanzia previste dalla disciplina di settore (art. 4 della l. 300/1970) o cessare l’utilizzo di tali programmi e servizi informatici.
Da ultimo, si fa presente che le indicazioni di cui al presente documento di indirizzo devono considerarsi valide anche nel caso in cui, in ambito pubblico, i programmi e servizi informatici in questione siano acquistati mediante le convenzioni/piattaforme che le pubbliche amministrazioni devono o possono utilizzare per l’acquisto di beni e servizi”.