News

GDPR Privacy

Garante Privacy e metadati posta elettronica dei dipendenti

Nuovo documento di indirizzo del Garante per la Protezione dei Dati Personali sulla gestione della posta elettronica e il trattamento dei metadati nel contesto lavorativo

Il 6 giugno 2024, il Garante per la Protezione dei Dati Personali ha emanato un importante provvedimento, n. 364, che introduce aggiornamenti significativi alle linee guida riguardanti la gestione della posta elettronica e il trattamento dei metadati nel contesto lavorativo. Questo documento di indirizzo è stato redatto alla luce delle osservazioni emerse dalla consultazione pubblica e mira a fornire una ricostruzione sistematica delle disposizioni applicabili, promuovendo la consapevolezza e la conformità normativa tra i datori di lavoro pubblici e privati.

Premessa normativa

Le nuove linee guida si inseriscono nell’ambito del Regolamento (UE) 2016/679 (GDPR) e del d.lgs. 30 giugno 2003, n. 196 (Codice Privacy), con un particolare focus sugli articoli 5, 6 e 88 del GDPR e gli articoli 113 e 114 del Codice Privacy. Il documento si prefigge di delineare i confini normativi entro cui i datori di lavoro devono operare per garantire il rispetto dei diritti fondamentali dei lavoratori in materia di protezione dei dati personali.

Definizione di metadati

Per “metadati” si intendono “[…] informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client (le postazioni terminali che effettuano l’invio dei messaggi e che consentono la consultazione della corrispondenza in entrata accedendo ai mailbox elettroniche, definite negli standard tecnici quali MUA – Mail User Agent)“.

Raccolta e conservazione dei metadati

Una delle principali novità riguarda la raccolta e la conservazione dei metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti. Il Garante ha evidenziato che i programmi di gestione della posta elettronica, soprattutto quelli forniti in modalità cloud, possono raccogliere questi dati per impostazione predefinita e conservarli per un periodo esteso. Questo comporta il rischio di una raccolta preventiva e generalizzata dei metadati, ponendo potenziali limiti alla privacy dei dipendenti.

Per mitigare questi rischi, il Garante raccomanda ai datori di lavoro di assicurarsi che i sistemi utilizzati consentano di disabilitare la raccolta sistematica dei metadati o, almeno, di ridurre il periodo di conservazione. Questa misura è essenziale per conformarsi ai principi di minimizzazione dei dati e limitazione della conservazione previsti dal GDPR.

Responsabilità del titolare del trattamento

Il documento ribadisce la necessità per i datori di lavoro, in qualità di titolari del trattamento, di garantire la liceità dei trattamenti effettuati. Questo implica una verifica scrupolosa della sussistenza di un idoneo presupposto di liceità, come previsto dagli articoli 5 e 6 del GDPR, prima di procedere con qualsiasi trattamento di dati personali dei lavoratori.

Inoltre, il Garante sottolinea l’importanza di effettuare una valutazione d’impatto sulla protezione dei dati (DPIA) qualora i trattamenti comportino un rischio elevato per i diritti e le libertà degli interessati. Questa valutazione è particolarmente rilevante in caso di raccolta e memorizzazione dei log della posta elettronica, data la vulnerabilità dei lavoratori e il rischio di monitoraggio sistematico.

Misure tecniche e organizzative

Per garantire la sicurezza dei dati, i datori di lavoro devono adottare adeguate misure tecniche e organizzative. Questo include la garanzia che solo i soggetti autorizzati abbiano accesso ai metadati e che ogni accesso sia tracciato. Il principio di responsabilizzazione (accountability) previsto dal GDPR impone ai titolari del trattamento di dimostrare la conformità alle normative attraverso l’adozione di misure idonee.

Coinvolgimento dei fornitori

Il Garante richiama anche i fornitori di servizi di posta elettronica a considerare la protezione dei dati fin dalla fase di progettazione dei loro prodotti e servizi, in conformità con il principio di privacy by design e by default. Questo implica che i fornitori devono contribuire a garantire che i titolari del trattamento possano adempiere ai loro obblighi di protezione dei dati.

Indicazioni operative per i datori di lavoro

Alla luce di queste nuove disposizioni, i datori di lavoro sono invitati a:

  • rivedere le impostazioni dei sistemi di posta elettronica per garantire la possibilità di disabilitare la raccolta dei metadati o ridurne il periodo di conservazione.
  • aggiornare le informative privacy fornite ai dipendenti, includendo dettagli sul trattamento dei metadati e i tempi di conservazione.
  • effettuare una valutazione d’impatto sulla protezione dei dati, se non già realizzata, per valutare i rischi associati ai trattamenti dei metadati.
  • collaborare con i fornitori di servizi per garantire che i prodotti utilizzati siano conformi alle normative sulla protezione dei dati.

Articoli correlati

DPO: è obbligatorio? Quali sono i suoi compiti?
Data breach: cosa fare e come notificare il garante
Tutte le news