Con il Provvedimento 6 giugno 2024, n. 364, il Garante per la protezione dei dati personali ha adottato il nuovo documento di indirizzo sui “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, che modifica e sostituisce il precedente Provvedimento 21 dicembre 2023, n. 642, che prescriveva la cancellazione dei cc.dd. “metadati” degli account dei servizi di posta elettronica dei lavoratori dopo un periodo di conservazione di non oltre 7/9 giorni (salvo attivazione delle procedure previste dall’art. 4, co. 1 dello Statuto dei lavoratori).

 

Nel nuovo Provvedimento, deliberato a seguito di una consultazione pubblica cui Confindustria ha partecipato insieme alle altre principali Associazioni datoriali (ABI, ANIA e Confcommercio), il Garante ha rivisto le indicazioni sulla conservazione dei metadati, chiarendone il perimetro applicativo, la natura, nonché la ratio.

 

In particolare, l’Autorità:

• ha fornito una definizione di metadati, precisando che le indicazioni contenute nel Provvedimento non riguardano la gestione della posta elettronica data in uso ai lavoratori, quanto, piuttosto, la gestione dei cc.dd. “log di trasporto”, vale a dire quelle informazioni raccolte automaticamente dai sistemi di posta elettronica e funzionali a garantire le operazioni di invio e recapito delle e-mail;
• ha specificato la natura di indirizzo del Provvedimento, sottolineando che da questo non discendono prescrizioni, nuovi obblighi o responsabilità a carico del datore di lavoro e conformando la gestione dei metadati un un’ottica di accountability, indicando, al riguardo, un termine di conservazione orientativo – di 21 giorni – superabile, senza attivare le garanzie di cui all’art. 4, co. 1 dello Statuto dei lavoratori, in presenza di comprovate esigenze tecniche e organizzative;
• ha evidenziato che l’obiettivo del Provvedimento è di sensibilizzare e “responsabilizzare” i datori di lavoro sui trattamenti aventi a oggetto i metadati e, in particolare, sui relativi tempi di conservazione da parte dei fornitori.

 

Inoltre, nel ricordare che la “responsabilità generale” dei trattamenti dei metadati ricade sui datori di lavoro, in qualità di titolari del trattamento, il Garante ha invitato i fornitori dei servizi di posta elettronica a tenere conto del diritto alla protezione dei dati conformemente allo stato dell’arte e a contribuire a far sì che i datori di lavoro possano adempiere ai loro obblighi di protezione dei dati.

Al fine di supportare le imprese nella gestione dei metadati in modo conforme agli indirizzi del Garante, nel documento allegato, Confindustria illustra le indicazioni fornite dall’Autorità e fornisce alcune linee guida e indicazioni di carattere operativo.

In particolare, si richiama l’attenzione sulla necessità di verificare i tempi di conservazione dei metadati praticati dai fornitori, le motivazioni di carattere funzionale/tecnico dagli stessi fornite per giustificarne la conservazione per un certo periodo, nonché l’eventuale possibilità di stabilire in autonomia tempistiche di retention differenti e di disattivare le funzioni incompatibili con le proprie finalità del trattamento.

Inoltre, si suggerisce di:

1. fornire ai lavoratori una informativa chiara sul trattamento dei dati personali relativi alle comunicazioni elettroniche che li riguardano;
2. effettuare ovvero eventualmente aggiornare la valutazione di impatto sulla protezione dei dati personali, cc.dd. DPIA, documentando altresì le esigenze tecniche e organizzative che giustificano l’individuazione di un termine di conservazione dei metadati superiore ai 21 giorni e aggiornando il registro delle attività di trattamento;
3. adottare tutte le misure tecniche e organizzative per garantire il rispetto della normativa sulla protezione dei dati personali e di quella di settore.