Garante per la Protezione dei dati personali
Provvedimento prot. n. 364 del 6 giugno 2024
Si rende noto che è stata adottata una versione aggiornata del Documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” che sostituisce le precedenti linee guida. Nel dettaglio, tale provvedimento tratta:
- la normativa in materia di protezione dei dati personali,
- la disciplina di settore in materia di controlli a distanza,
- le possibili responsabilità per i datori di lavoro pubblici e privati.
I metadati cui fa riferimento il Garante privacy sono le informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e tra questi e i client (le postazioni terminali che effettuano l’invio dei messaggi e che consentono la consultazione della corrispondenza in entrata accedendo ai mailbox elettroniche, definite negli standard tecnici quali Mua – Mail User Agent). Con riferimento alla gestione delle e mail nel contesto lavorativo, il Garante precisa che l’attività di raccolta e conservazione riguarda solo i metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema di posta elettronica e non deve essere superiore a 21 giorni (in origine erano 7-8), in applicazione dell’art. 4, co. 2 della Legge 300/1970, che consente di esentare il datore di lavoro dalla stipula dell’accordo sindacale o dall’autorizzazione della ItL. Rispetto alla versione ante consultazione pubblica, il Garante riconosce ora che si tratta di un termine “orientativo” (si legge: “…all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione, si ritiene che possa essere effettuata, di norma, per un periodo limitato a pochi giorni; a titolo orientativo, tale conservazione non dovrebbe comunque superare i 21 giorni”). L’eventuale conservazione per un termine più ampio potrà essere effettuata, solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente le specificità della realtà tecnica e organizzativa del titolare. Diversamente, il titolare del trattamento/datore di lavoro sarà invece tenuto ad espletare le richiamate procedure di garanzia previste dalla disciplina.