Il 06.06.24 è stato adottato il documento in oggetto, a valle di una consultazione pubblica avviata dall’Autorità, a seguito delle numerose richieste di chiarimenti pervenute in merito alla prima versione del provvedimento (del 22.02.24), e già commentata in questa rivista dal Collega Marsico.

Alla luce delle osservazioni e proposte ricevute, l’Autorità ha apportato specifiche modifiche ed integrazioni al testo, il quale muove dall’esigenza di dettare indicazioni chiare in ordine ai trattamenti di dati personali effettuati nel contesto lavorativo, poiché nel corso di accertamenti condotti, è emerso che i servizi e programmi informatici raccolgono, spesso, per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica assegnati ai dipendenti, conservando gli stessi per un esteso arco temporale.

Il primo passo del documento è quello di definire l’oggetto del trattamento, identificato nelle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA= Mail Transport Agent) e dalle postazioni, nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client (le postazioni terminali che effettuano l’invio dei messaggi e che consentono la consultazione della corrispondenza in entrata accedendo ai mailbox elettroniche, definite negli standard tecnici quali MUA – Mail User Agent).

I metadati così definiti sono relativi alle operazioni di invio e ricezione e di smistamento dei messaggi e possono comprendere: indirizzi email del mittente e del destinatario, indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e dimensione di eventuali allegati, l’oggetto del messaggio spedito o ricevuto (ma solo in alcuni sistemi di gestione del servizio di posta usato).

Il Garante precisa che il provvedimento non riguarda le informazioni contenute nei messaggi di posta, nella c.d. body-part (cioè nel corpo del messaggio) o anche con essi integrate, a formare il c.d. envelope, che rimangono nella disponibilità dell’utente/lavoratore, all’interno della casella di posta elettronica attribuitagli e il cui trattamento deve comunque conformarsi alla normativa di settore.

Ma, come anticipato, l’Autorità coglie anche l’occasione per effettuare una ricostruzione sistematica delle disposizioni applicabili al contesto lavoristico, con specifico riguardo all’intersezione tra la disciplina di protezione dati e lo Statuto dei Lavoratori (legge 300 del 1970) e per fornire ai datori di lavoro, titolari del trattamento, indicazioni in ordine alla possibilità di ricondurre i metadati in commento nella nozione di “strumenti di lavoro”, che beneficerebbero, per tale via, della speciale esenzione riconosciuta dal comma 2 dell’art.4 Stat. Lav.

Queste le condizioni al verificarsi delle quali trova applicazione la fattispecie sopra citata:

– i metadati coinvolti devono ricadere nella definizione indicata nel provvedimento,

– la finalità del trattamento deve essere quella di assicurare il funzionamento delle infrastrutture del sistema della posta elettronica,

– la conservazione delle informazioni non deve superare un periodo di tempo individuato in, circa, 21 giorni.

Ma, è fondamentale tenerlo presente, il trattamento dovrà, comunque, rispettare i principi generali (artt. 5, 24 e 25 del Regolamento europeo sulla protezione dei dati personali) e, il titolare datore di lavoro dovrà attuare tutti gli adempimenti previsti, in particolare, negli artt. 12, 13, 14, 30, 32 e 35 del citato Regolamento.

A contrario, nel caso in cui le informazioni in commento siano conservate per un periodo di tempo superiore ai circa 21 giorni, ma sempre nell’ambito della finalità indicata nel testo, il titolare dovrà dimostrare la sussistenza di specificità tecniche ed organizzative della propria realtà.

Parimenti, pur se i metadati siano conservati per il periodo di tempo “standard”, indicato dall’Autorità, ma per finalità diverse da quelle segnalate, detti elementi non potranno ricadere nella nozione di “strumenti di lavoro” e godere della speciale esenzione di cui al comma 2 dell’art.4 Stat. Lav.

Ritiene l’Autorità, infatti, che finalità diverse da quelle indicate portano i medesimi dati a poter essere trattati solo dopo il previo esperimento delle garanzie previste dall’art. 4, comma 1, della predetta L. n. 300/1970 (come già più volte affermato dall’Autorità v., da ultimo, provv. 1° dicembre 2022, n. 409, doc. web n. 9833530).

Quanto esposto nel provvedimento in commento non è da considerarsi un’assoluta novità, anzi, si tratta di una riaffermazione di principi già espressi molte volte. Il passaggio più interessante, ad avviso di chi scrive, è quello nel quale l’Autorità ricorda al datore di lavoro, titolare del trattamento, l’importanza dell’adozione di  misure volte ad assicurare il rispetto dei principi della protezione dei dati fin dalla progettazione e per impostazione predefinita (art. 25 del Regolamento) “incorporan[d]o nel trattamento le misure e le garanzie adeguate ad assicurare l’efficacia dei principi di protezione dei dati, dei diritti e delle libertà degli interessati” e facendo in modo che “[venga] effettuato per impostazione predefinita solo il trattamento strettamente necessario per conseguire la specifica e lecita finalità”, anche con riguardo al periodo di conservazione dei dati.

Infine, il Garante ricorda come gravi sul titolare l’obbligo di selezione e verifica di conformità dei provider di servizi, i quali devono fornire garanzie adeguate in ordine al rispetto della normativa di settore. Nello specifico del provvedimento in oggetto, l’Autorità precisa che “il titolare del trattamento deve accertare che siano disattivate le funzioni non compatibili con le proprie finalità del trattamento o che si pongono in contrasto con specifiche norme di settore previste dall’ordinamento ad esempio, commisurando adeguatamente anche i tempi di conservazione dei dati ovvero chiedendo al fornitore del servizio di anonimizzare i metadati raccolti nei casi in cui non si intenda effettuare una conservazione più prolungata degli stessi”.

Ecco, dunque, un nuovo esempio dell’importanza che i datori di lavoro titolari del trattamento siano informati e consapevoli del funzionamento e delle implicazioni normative connesse all’uso di strumenti tecnologici nelle proprie realtà organizzative, essendo chiamati a rendere conto circa il loro funzionamento ed utilizzo.

Arianna Ciracò, avvocato in Prato

Visualizza il documento: Garante Privacy, 6 giugno 2024

Scarica il commento in PDF

L'articolo L’Autorità Garante per la protezione dei dati personali pubblica la versione definitiva del documento di indirizzo sulla gestione della posta elettronica e il trattamento dei metadati sembra essere il primo su Rivista Labor - Pacini Giuridica.