La posta elettronica aziendale è uno strumento fondamentale per lo svolgimento delle attività lavorative: nell’ambito di accertamenti condotti dal Garante Privacy con riguardo ai trattamenti di dati personali effettuati nel contesto lavorativo è emerso da tempo il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere, per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti, conservando gli stessi per un esteso arco temporale, e ciò talvolta ponendo limitazioni al cliente (Datore di Lavoro) in ordine alla possibilità di modificare le impostazioni di base del programma informatico al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi.
Ciò considerato, lo scorso dicembre 2023 l’Autorità aveva adottato in via preliminare il documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (provv. del 21 dicembre 2023, n. 642, doc. web n. 9978728) allo scopo di richiamare l’attenzione su taluni punti di intersezione tra la disciplina di protezione dei dati e le norme che stabiliscono le condizioni per l’impiego degli strumenti tecnologici nei luoghi di lavoro.
Tuttavia, considerate le richieste di chiarimenti pervenute al Garante, con il provv. del 22 febbraio 2024, n. 127, doc. web n. 9987885, era stata avviata una consultazione pubblica in merito alla congruità – in relazione alle finalità perseguite dai Datori di Lavoro – del termine di conservazione dei metadati (“log”) generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica, sospendendo l’efficacia del predetto documento di indirizzo (v. avviso pubblico di avvio della consultazione sul termine di conservazione dei metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica, pubblicato sulla Gazzetta Ufficiale n. 64 del 16 marzo 2024).
Viste, pertanto, le osservazioni e le proposte pervenute al Garante nell’ambito della predetta consultazione pubblica e ritenuto:
– di apportare specifiche modifiche ed integrazioni al predetto documento di indirizzo, nella prospettiva di agevolare, altresì, la comprensione dell’ambito dei trattamenti presi in considerazione e delle indicazioni fornite al fine di promuovere la consapevolezza delle scelte tecniche ed organizzative dei Datori di Lavoro – in qualità di Titolari del trattamento – nonché di prevenire iniziative e trattamenti di dati in contrasto con la disciplina in materia di protezione dei dati e con le norme che tutelano la libertà e la dignità dei Lavoratori;
– di fornire indicazioni in merito ai criteri che possano orientare le scelte dei Datori di Lavoro nell’individuazione dell’eventuale periodo di conservazione dei predetti log (ai fini dell’applicazione dell’eccezione contenuta nell’art. 4, comma 2, della l. 20 maggio 1970, n. 300 rispetto alla regola di cui al comma 1) per assicurare il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica, comprese le essenziali garanzie di sicurezza informatica;
– di dover adottare una versione aggiornata del Documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”;
il Garante Privacy ha deliberato di adottare una versione aggiornata del Documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”.
CONTATTACI PER MAGGIORI INFORMAZIONI: