Con Provvedimento del 21 dicembre 2023, il Garante per la Protezione dei Dati Personali era intervenuto relativamente al trattamento di dati personali effettuati nel contesto lavorativo, in relazione al rischio che i programmi e servizi informatici per la gestione della posta elettronica possano raccogliere, per impostazione predefinita e in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account e-mail in uso ai dipendenti, stabilendo di limitarne il periodo di conservazione ad un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore (maggiori informazioni cliccando qui).
A seguito di consultazione pubblica, alla quale ha preso parte anche CNA, con Provvedimento del 6 giugno 2024 n. 10026277, il Garante ha adottato un documento di indirizzo contenente indicazioni e chiarimenti in merito al corretto funzionamento e al regolare utilizzo di programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati, estendendo dagli originali 7 giorni a 21 il periodo orientativo di data retention dei metadati.
I metadati, cui si riferisce il presente documento di indirizzo, corrispondono tecnicamente alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica e dalle postazioni nell’interazione che avviene tra i diversi server interagenti.
Pertanto, le indicazioni contenute nel documento relativamente ai tempi di conservazione dei metadati, “non riguardano i contenuti dei messaggi di posta elettronica (né le informazioni tecniche che ne fanno comunque parte integrante), che rimangono nella disponibilità dell’utente/lavoratore, all’interno della casella di posta elettronica attribuitagli”.
In questa prospettiva, l’Autorità intende fornire ai datori di lavoro indicazioni in ordine alla possibilità di trattare tali informazioni per consentire il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica, comprese le essenziali garanzie di sicurezza informatica.
Pertanto, se la conservazione dei metadati rimane contenuta nell’arco temporale dei 21 giorni, sarà sufficiente per l’impresa aggiornare l’informativa privacy e integrare il registro delle attività di trattamenti. Invece, la conservazione dei metadati oltre i 21 giorni risulta ammessa solo in presenza di particolari condizioni, che ne rendano necessaria l’estensione, gravando sul titolare del trattamento (datore di lavoro), di provare adeguatamente, in applicazione del principio di accountability, le specificità della realtà tecnica e organizzativa. Infine, qualora il trattamento dei metadati avvenga per finalità diverse dal semplice funzionamento del sistema di posta elettronica, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, occorre espletare le procedure di garanzia previste dalla disciplina di settore e dunque, la conservazione dei metadati oltre i giorni 21 si considera legittima solo a fronte di un preventivo accordo con le rappresentanze sindacali aziendali o di autorizzazione in tal senso da parte dell’Ispettorato del Lavoro territorialmente competente.
CNA Modena è disponibile a fornire supporto alle aziende nel domandare ai provider l’attuazione delle misure necessarie all’adeguamento alla normativa, oltre che nelle attività di redazione e aggiornamento dei documenti privacy e di quelli necessari per addivenire all’accordo con le rappresentanze sindacali o all’autorizzazione dell’Ispettorato del Lavoro, dove necessario.
Per maggiori informazioni e supporto nella gestione degli adempimenti in materia, è possibile contattare CNA al seguente recapito: servizioprivacy@mo.cna.it
In ogni caso, a meno che non sussistano particolari esigenze che giustifichino la conservazione dei metadati oltre i 21 giorni, il suggerimento di CNA è quello di comunicare direttamente al Provider del programma di posta elettronica la propria volontà di rinunciare alla conservazione dei metadati oltre i 21 giorni o, comunque, la volontà di ridurre ad un termine massimo di 21 giorni la possibilità di accesso/visualizzazione, da parte dell’impresa, ai metadati.
Per scaricare un modello di testo da inviare al provider di posta elettronica cloud, compilare il seguente modulo:
