TUTELA DEI DATI PERSONALI
Garante privacy: pubblicato il provvedimento di indirizzo definitivo sul trattamento e la conservazione dei metadati della posta elettronica di lavoratori pubblici e privati.
A seguito della consultazione pubblica avviata dal Garante privacy sul documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, il 6 giugno la medesima Autorità ha emanato il documento definitivo con le indicazioni modificate ai datori di lavoro pubblici e privati, ricordando comunque che “stante la natura orientativa del documento di indirizzo, dallo stesso non discendono nuovi adempimenti o responsabilità”.
Il Garante chiarisce meglio cosa si intende per “metadati” ai fini del documento di indirizzo: essi corrispondono tecnicamente alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client (le postazioni terminali che effettuano l’invio dei messaggi e che consentono la consultazione della corrispondenza in entrata accedendo ai mailbox elettroniche, definite negli standard tecnici quali MUA – Mail User Agent).
Tali informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto. I metadati cui ci si riferisce nel documento (sia quelli di origine prettamente tecnica sia quelli, come il campo “Oggetto”, determinati dagli utenti) presentano poi la caratteristica di essere registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utilizzatore. Infine, il provvedimento chiarisce che i metadati non vanno confusi con le informazioni contenute nel corpo del messaggio e-mail, anche quando sono informazioni tecniche in esso integrate o rappresentano l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici. Le informazioni contenute nell’envelope, ancorché corrispondenti a metadati registrati automaticamente nei log dei servizi di posta, sono inscindibili dal messaggio di cui fanno parte integrante che rimane sotto l’esclusivo controllo dell’utente (sia esso il mittente o il destinatario dei messaggi).
Venendo alle indicazioni utili ai titolari del trattamento per una corretta accountability, il Garante chiarisce che l’attività di raccolta e conservazione dei soli metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, rientra nell’articolo 4, comma 2 dello Statuto dei Lavoratori (non necessitando dunque l’accordo sindacale o l’autorizzazione) se il periodo di conservazione non supera i 21 giorni. L’eventuale conservazione per un termine ancora più ampio potrà essere effettuata, solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente, in applicazione del principio di accountability previsto dall’art. 5, par. 2, del GDPR, le specificità della realtà tecnica e organizzativa del titolare. Diversamente, la generalizzata raccolta e la conservazione dei log di posta elettronica, per un lasso di tempo più esteso, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della L. n. 300/1970.
Il Garante chiarisce meglio cosa si intende per “metadati” ai fini del documento di indirizzo: essi corrispondono tecnicamente alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client (le postazioni terminali che effettuano l’invio dei messaggi e che consentono la consultazione della corrispondenza in entrata accedendo ai mailbox elettroniche, definite negli standard tecnici quali MUA – Mail User Agent).
Tali informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto. I metadati cui ci si riferisce nel documento (sia quelli di origine prettamente tecnica sia quelli, come il campo “Oggetto”, determinati dagli utenti) presentano poi la caratteristica di essere registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utilizzatore. Infine, il provvedimento chiarisce che i metadati non vanno confusi con le informazioni contenute nel corpo del messaggio e-mail, anche quando sono informazioni tecniche in esso integrate o rappresentano l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici. Le informazioni contenute nell’envelope, ancorché corrispondenti a metadati registrati automaticamente nei log dei servizi di posta, sono inscindibili dal messaggio di cui fanno parte integrante che rimane sotto l’esclusivo controllo dell’utente (sia esso il mittente o il destinatario dei messaggi).
Venendo alle indicazioni utili ai titolari del trattamento per una corretta accountability, il Garante chiarisce che l’attività di raccolta e conservazione dei soli metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, rientra nell’articolo 4, comma 2 dello Statuto dei Lavoratori (non necessitando dunque l’accordo sindacale o l’autorizzazione) se il periodo di conservazione non supera i 21 giorni. L’eventuale conservazione per un termine ancora più ampio potrà essere effettuata, solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente, in applicazione del principio di accountability previsto dall’art. 5, par. 2, del GDPR, le specificità della realtà tecnica e organizzativa del titolare. Diversamente, la generalizzata raccolta e la conservazione dei log di posta elettronica, per un lasso di tempo più esteso, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della L. n. 300/1970.
