Il Garante per la privacy – con il provvedimento n. 364 del 6.6.2024 (che fa seguito alla consultazione pubblica avviata con il provvedimento del 22.2.2024) – ha adottato una versione aggiornata del documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, in sostituzione del precedente documento di indirizzo del 21.12.2023, n. 642 (in q. sito, con nota di F. GIROLAMI e F. IACOBONE) relativo alle linee guida da seguire per quanto riguarda la gestione della posta elettronica nel contesto lavorativo.
Con il nuovo documento di indirizzo, il Garante ha precisato, in particolare, quanto segue:
- per metadati s’intendono le informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica, riguardanti: gli indirizzi e-mail del mittente e del destinatario; gli indirizzi IP dei server o dei client; gli orari di invio, di ritrasmissione o di ricezione; la dimensione del messaggio; la presenza e la dimensione di eventuali allegati; in certi casi, l’oggetto del messaggio spedito o ricevuto;
- i metadati – registrati automaticamente dai sistemi di posta elettronica (indipendentemente dalla percezione e dalla volontà dell’utilizzatore) – non vanno confusi con le informazioni contenute nei messaggi di posta elettronica, nella loro body-part (corpo del messaggio) e con le informazioni integrate nei messaggi che formano il c.d. “envelope” (ossia l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici);
- l’art. 4, co. 1, L. 300/1970 individua tassativamente le finalità (organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale) per le quali gli strumenti, dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere impiegati nel contesto lavorativo, stabilendo precise garanzie procedurali (sottoscrizione di un accordo sindacale o, in mancanza, autorizzazione da parte dell’Ispettorato Nazionale o Territoriale del Lavoro). Tali garanzie non trovano applicazione “agli strumenti di registrazione degli accessi e delle presenze” e “agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” (art. 4, co. 2, L. n. 300/1970);
- per l’applicabilità dell’eccezione prevista dall’art. 4, co. 2, L. n. 300/1970, l’attività di raccolta e conservazione dei soli metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, se riferite alle e-mail dei dipendenti, potrà essere effettuata, di norma, per un periodo limitato a pochi giorni, che non dovrebbe comunque superare i 21 giorni (ampliandosi, dunque, il termine di 7 giorni indicato nel precedente provvedimento del 21.12.2023);
- l’eventuale conservazione dei metadati per un termine più ampio di 21 giorni potrà essere effettuata, solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente – in applicazione del principio di accountability previsto dall’art. 5, par. 2, del Regolamento (UE) n. 679/2016 (GDPR) – le specificità della realtà tecnica e organizzativa del datore di lavoro (titolare). Il titolare deve, in ogni caso, adottare tutte le misure tecniche e organizzative: a) per assicurare il rispetto del principio di limitazione della finalità; b) l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti; c) la tracciatura degli accessi effettuati;
- diversamente, la generalizzata raccolta e la conservazione dei log di posta elettronica, per un lasso di tempo più esteso ai 21 giorni, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, L. n. 300/1970.