M

Questo sito fa uso di cookie tecnici per migliorare l’esperienza di navigazione degli utenti e per raccogliere informazioni sull’utilizzo del sito stesso. Per maggiori informazioni si veda la Cookie Policy.

Raccolta predefinita e generalizzata dei metadati di posta elettronica del lavoratore: il nuovo documento di indirizzo del Garante per la Protezione dei Dati Personali

Il Garante per la Protezione dei Dati Personali, il 6 giugno 2024, ha adottato una versione aggiornata del documento di indirizzo ‘’Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati’’.

Tale documento non reca prescrizioni né introduce nuovi adempimenti, ma è volto ad offrire una ricostruzione sistematica delle disposizioni applicabili in materia di gestione della posta elettronica nel contesto lavorativo e di trattamento dei metadati, così da richiamare l’attenzione sulle problematiche attinenti all’intersecazione tra la disciplina di protezione dei dati e le norme che identificano le condizioni per l’utilizzo di strumenti tecnologici nei luoghi di lavoro.

In particolare, il documento si riferisce ai metadati, intesi quali informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica e dalle postazioni nell’interazione che avviene tra i diversi server interagenti. Tali informazioni, relative alle operazioni di invio, ricezione e smistamento dei messaggi, possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio di posta elettronica, la presenza e le dimensioni di eventuali allegati.

Ebbene, nell’ambito di accertamenti condotti dall’Autorità riguardo ai trattamenti di dati personali effettuati nel contesto lavorativo, è emerso il rischio che programmi e servizi informatici per la gestione della posta elettronica possano includere un’impostazione predefinita e generalizzata che raccolga i metadati per un prolungato arco temporale, indipendentemente dalla percezione e dalla volontà dell’utilizzatore.

Si è dunque rilevato come una raccolta generalizzata di metadati attinenti alla posta elettronica del lavoratore per un periodo esteso, possa comportare la possibilità per il datore di lavoro di venire a conoscenza di informazioni personali che non siano rilevanti per la valutazione professionale, precisando come un’eventuale conservazione dei metadati debba essere proporzionata alle finalità riguardanti la sicurezza informatica e la tutela del patrimonio informatico; diversamente si incorrerebbe nella violazione del principio di ‘’limitazione della conservazione’’ prevista dall’art. 5, par. 1, lett. e) del Regolamento 2016/679 (GDPR).

In tale contesto, il Garante ha inteso fornire ai datori di lavoro delle indicazioni da attuare per assicurare un corretto funzionamento e utilizzo del sistema di posta elettronica, evitando l’applicazione della procedura di garanzia dell’art. 4, comma 1, L. n. 300/1970.

Il primo accorgimento fornito dal Garante è quello relativo alla necessità che gli interessati siano resi pienamente consapevoli delle caratteristiche del trattamento anche di tali dati. È dunque consigliabile fornire ai propri dipendenti un’informativa relativa ai tempi e alle modalità di conservazione dei dati, nonché relativa alle modalità di controllo adottate.

Ancora, il Garante invita il datore di lavoro e il fornitore ad adottare misure per la protezione dei dati fin dalla progettazione del trattamento e, per impostazione predefinita, per tutto il ciclo di vita dei dati.

I tempi di conservazione dei metadati devono inoltre essere proporzionati rispetto alle legittime finalità perseguite. Infatti, anche per i metadati, ove i tempi di conservazione non siano definiti in maniera proporzionata alle finalità di trattamento, il titolare dello stesso potrebbe incorrere nella violazione del principio di limitazione della conservazione di cui all’art. 5, par. 1 lett. e) del Regolamento.

In conclusione, dunque, anche per i metadati, il titolare del trattamento deve verificare la conformità del trattamento con i principi di cui all’art. 5 del GDPR, disattivando le funzioni che non siano compatibili con le legittime finalità del trattamento e adottando le misure tecniche e organizzative adeguate.

Data di pubblicazione
24.06.2024
Argomento trattato
Data Protection

Iscrizione Newsletter

Share