Il Documento di indirizzo previsto dal Garante per la gestione di e-mail e metadati

28 Agosto 2024

Nell’ambito di accertamenti condotti dal Garante con riguardo ai trattamenti di dati personali effettuati nel contesto lavorativo è emerso il rischio che programmi  e servizi informatici per la gestione della posta elettronica, anche qualora commercializzati da fornitori in modalità cloud, possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati ovvero log di posta elettronica, relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti, conservando gli stessi per un esteso arco temporale. 

 

Obiettivo del Garante

Richiamare l’attenzione su alcuni punti di intersezione tra la disciplina di protezione dei dati (GDPR) e le norme che stabiliscono le condizioni per l’impiego degli strumenti tecnologici nei luoghi di lavoro.

 

Cosa sono i metadati?

I metadati corrispondono tecnicamente alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent).

Tali informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto.

I metadati (sia quelli di origine prettamente tecnica sia quelli, come il campo “Oggetto”, determinati dagli utenti) presentano la caratteristica di essere registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utilizzatore.

Gli stessi metadati come qui intesi non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio)

 

Rischi per il Titolare del Trattamento

“Monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare i lavoratori, ivi inclusi i dati raccolti tramite reti”

 

Tempi di conservazione dei metadati (log di posta elettronica)

Alla luce di ciò, affinché sia ritenuto applicabile il comma 2 dell’art. 4 della L. n. 300/1970 (Statuto dei Lavoratori), l’attività di raccolta e conservazione dei soli metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione, il Garante ritiene che possa essere effettuata, di norma, per un periodo limitato a pochi giorni; a titolo orientativo, tale conservazione non dovrebbe comunque superare i 21 giorni.

Diversamente, la generalizzata raccolta e la conservazione dei log di posta elettronica, per un lasso di tempo più esteso, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori.

Inoltre, ove i tempi di conservazione non siano definiti in maniera proporzionata alle finalità del trattamento, il titolare del trattamento può incorrere nella violazione del principio di “limitazione della conservazione” (art. 5, par. 1, lett. e), del GDPR).

 

(Fonte : Provvedimento del 06 giugno 2024 – Documento di indirizzo. Programmi e Servizi Informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati)

A&P CONSULTING SRL

A&P Consulting è "operatore accreditato per la formazione"; il riconoscimento è stato ottenuto presso la regione Lombardia ai sensi della d.g.r. n.2412 del 26/10/2011 e decreti attuativi. Il n. di iscrizione all'Albo accreditati per la formazione è il 970.

A&P CONSULTING SRL

La nostra società ha ottenuto la certificazione ISO 9001:2015, per la progettazione ed erogazione di servizi di formazione continua. Progettazione ed erogazione di servizi di consulenza in materia di organizzazione aziendale. Qui è possibile scaricare, in formato PDF, il certificato e la nostra Politica della Qualità

A&P CONSULTING SRL A&P CONSULTING SRL