Dopo aver concluso la consultazione pubblica, il Garante ha formulato, con il provvedimento del 6 giugno 2024, n. 364 [doc. web n. 10026277] , le sue indicazioni definitive in merito alla durata di conservazione dei metadati. Vediamo quali sono.
Quali sono le novità rispetto al precedente provvedimento
Le definizioni di “metadati”
Innanzitutto viene chiarita meglio la definizione di “metadati” evidenziando che “non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica o nei loro allegati, ma si tratta delle “informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni client (MUA = Mail User Agent)”.
In altri termini, i metadati includono: indirizzi e-mail di mittente e destinatario, indirizzi IP dei server o client coinvolti, orari di invio, ritrasmissione o ricezione, dimensione del messaggio, presenza e dimensione di eventuali allegati e, a volte, l’oggetto del messaggio. Questi dati sono registrati in automatico dai sistemi di posta, indipendentemente dalla volontà dell’utente.
Tuttavia, anche se questi metadati vengono registrati automaticamente nei log dei servizi di posta, restano comunque inscindibili dal messaggio di cui fanno parte integrante , che rimane sotto l’esclusivo controllo dell’utente.
Ed è questo passaggio che determina la delicatezza della questione e il collegamento con lo Statuto dei Lavoratori.
Gli aspetti giuslavoristici e il controllo a distanza
Il provvedimento stabilisce che la raccolta e conservazione dei metadati/log necessari per il funzionamento del sistema di posta elettronica è sì consentita, ma per un periodo limitato a pochi giorni, e comunque non oltre i 21 giorni, salvo dimostrati casi particolari che ne rendano necessaria l’estensione di 48 ore, “comprovando adeguatamente, in applicazione del principio di accountability, […] le specificità della realtà tecnica e organizzativa del titolare”.
Infatti la generalizzata raccolta e conservazione dei log di posta elettronica per un periodo più esteso, può determinare un “indiretto controllo a distanza” dell’attività dei lavoratori, richiedendo perciò le garanzie previste dall’art. 4, comma I dello Statuto dei Lavoratori, ossia il ricorso all’accordo sindacale o alla autorizzazione della Direzione Territoriale.
Inoltre , la conservazione indiscriminata di tali log può comportare la possibilità per il datore di lavoro di acquisire informazioni riferite alla sfera personale o alle opinioni dell’interessato e quindi non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore.
La logica della privacy by design e by default
Sono poi interessanti le osservazioni che il Garante fa sulla privacy by design e by default riguardo al tema trattato. Sostiene infatti che il datore di lavoro/titolare del trattamento debba “verificare che siano disattivate le funzioni che non rispondono alle proprie finalità del trattamento o che si contrappongono a specifiche norme di settore stabilite dalla legge, soprattutto in ambito lavorativo, ad esempio regolando adeguatamente anche i tempi di conservazione dei dati, o richiedendo al fornitore del servizio di anonimizzare i metadati raccolti nei casi in cui non si voglia effettuare una conservazione più lunga degli stessi”.
Questo ci porta a un ragionamento anche sui fornitori dei servizi e delle applicazioni informatiche che utilizziamo e che devono anche essi tenere conto del diritto alla protezione dei dati secondo quanto stabilito dalla norma.
Possibili iniziative di compliance per tutti i datori di lavoro
I datori di lavoro del settore pubblico e privato sono quindi tenuti a prendere tutte le precauzioni necessarie per adeguare i propri trattamenti. In particolare, il titolare del trattamento (datore di lavoro pubblico o privato) dovrà :
- accertarsi che i programmi e servizi informatici di gestione della posta elettronica utilizzati dai dipendenti – soprattutto se si tratta di prodotti di mercato erogati in modalità cloud o as-a-service – permettano di poter cambiare le impostazioni predefinite, bloccando la raccolta dei metadati o riducendola al limite massimo di sette giorni, prorogabile di altre 48 ore, alle condizioni sopra indicate.
- fornire idonea informativa ai dipendenti nella quale siano indicati quali sono i sistemi traccianti di uso quotidiano, quali sono i log che vengono raccolti, per quali motivi vengono analizzati e da chi
Lascia un commento