Trattamento dei metadati, o log di posta elettronica, nell’ambito lavorativo: le indicazioni operative e una check list per gli addetti ai lavori
Il Garante per la protezione dei dati personali, con provvedimento del 6 giugno 2024, ha emesso il documento di indirizzo aggiornato e definitivo sul trattamento dei log di posta elettronica nel contesto lavorativo, con l’obiettivo di rendere una ricostruzione sistematica delle disposizioni applicabili in tale specifico ambito, che presenta punti di intersezione tra i diritti costituzionali inviolabili (art. 2 Cost.), di libertà e segretezza (15 Cost.), la disciplina di protezione dei dati e le norme che stabiliscono le condizioni per l’impiego degli strumenti tecnologici nei luoghi di lavoro (Legge n. 300/70).
E’ stato chiarito che i metadati, cui si fa riferimento, corrispondono ai dati esteriori delle comunicazioni, nonché ai file allegati, cioè a quelle informazioni registrate automaticamente nei log generati dai sistemi server di gestione e smistamento della posta elettronica e possono comprendere: gli indirizzi e-mail del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati ed anche l’oggetto del messaggio spedito o ricevuto.
Nel suddetto documento di indirizzo sono evidenziati gli adempimenti cui sono tenuti i datori di lavoro (titolari del trattamento), per la corretta gestione del trattamento in questione.
Pertanto, si tenterà di focalizzare e sintetizzare i vari adempimenti, col fine di rendere concretamente applicabile il provvedimento mediante indicazioni operative.
L’analisi preliminare - I datori di lavoro, o più in generale i titolari del trattamento dei metadati della posta elettronica in ambito lavorativo, dovranno preliminarmente analizzare il trattamento posto in essere dei log di posta elettronica nel contesto lavorativo, individuando:
- le categorie di dati personali, o informazioni riguardanti gli interessati identificati o identificabili, che vengono trattate (ad esempio: indirizzi e-mail del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati ed anche l’oggetto del messaggio spedito o ricevuto).
- Le finalità del trattamento (ad esempio: sicurezza informatica; tutela del patrimonio informatico aziendale; rilevamento e mitigazione di eventuali incidenti di sicurezza; assolvimento degli obblighi inerenti la prestazione lavorativa; acquisizione di informazioni riferite alla sfera personale o alle opinioni degli interessati; monitoraggio sistematico degli interessati, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati”).
- La base giuridica del trattamento (ad esempio: legittimo interesse, obbligo legale, esecuzione di un contratto).
- Le categorie di destinatari, ovvero i soggetti che ricevono la comunicazione dei metadati della posta elettronica (ad esempio: i fornitori dei servizi di posta elettronica).
- Eventuali trasferimenti dei metadati ad un paese terzo o extra UE (ad esempio: servizi di cloud gestiti da aziende aventi sede extra UE).
- Il periodo di conservazione (se è stato limitato e in ragione di quale scopo), tenendo in considerazione che i tempi di conservazione dei metadati devono in ogni caso essere proporzionati rispetto alle finalità perseguite.
In particolare, finalità connesse alla sicurezza informatica e alla tutela del patrimonio informatico giustificherebbero la conservazione dei metadati per un arco temporale congruo rispetto all’obiettivo di rilevare e mitigare eventuali incidenti di sicurezza, adottando tempestivamente le opportune contromisure. Ove i tempi di conservazione non siano definiti in maniera proporzionata alle finalità del trattamento, il titolare del trattamento incorrerebbe nella violazione del principio di “limitazione della conservazione”. Per l’applicabilità del “secondo comma dell’art. 4 Statuto dei lavoratori (L. n. 300/1970), la conservazione non dovrebbe comunque superare i 21 giorni, un tempo più ampio è possibile solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente, in applicazione del principio di accountability, le specificità della realtà tecnica e organizzativa del titolare del trattamento”.
(Nella foto: Marco Pagliara, Avvocato, DPO e Privacy Officer certificato TÜV Italia)
La disamina complessiva del trattamento - La suddetta analisi preliminare è propedeutica alla successiva disamina complessiva del trattamento, finalizzata all’implementazione di tutti i necessari adempimenti, anche nel rispetto delle normative che si intersecano con la disciplina di protezione dei dati, di talché andrebbero effettuate le seguenti verifiche, in ordine:
- alla sussistenza dei presupposti di liceità ( stabiliti dall’art. 4 della l. 20 maggio 1970, n. 300), allorquando sussista la finalità di monitoraggio sistematico degli interessati, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati”; in tal caso, andrebbe verificata la sussistenza dei suddetti presupposti di liceità, ovvero se sussistono le esigenze organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale che potrebbero legittimare, se del caso, l’uso degli strumenti dai quali possa derivare la possibilità di controllo a distanza dell’attività dei lavoratori, con le correlate garanzie procedurali (accordo sindacale o autorizzazione pubblica). Diversamente, andrebbero limitate le finalità del trattamento, in modo che venga effettuato, per impostazione predefinita, solo il trattamento strettamente necessario per conseguire le specifiche e lecite finalità, in tutte le fasi ed attività di trattamento;
- al rispetto delle disposizioni che vietano al datore di lavoro di acquisire e comunque trattare informazioni attinenti alla sfera privata del lavoratore (art. 8 della l. 20 maggio 1970, n. 300), ovvero: se tramite il trattamento in questione è possibile o meno acquisire informazioni riferite alla sfera personale o alle opinioni dell’interessato e quindi non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore. In tal caso, stante il divieto espresso di legge, la verifica dovrebbe essere orientata all’inibizione e limitazione di tale finalità del trattamento, nel senso che il titolare del trattamento dovrebbe adoperarsi affinché i metadati non siano trattati per tali finalità incompatibili con quelle determinate e legittime;
- alla sussistenza di rischi elevati per i diritti e le libertà delle persone fisiche (in ragione delle tecnologie impiegate e considerato il contesto e le finalità perseguite) che rendano necessaria una preventiva valutazione di impatto sulla protezione dei dati personali. Tale necessità ricorre, in particolare, in caso di raccolta e memorizzazione dei log della posta elettronica per finalità di “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti”;
- alle misure organizzative e tecniche interne per assicurare l’accessibilità selettiva ai metadati da parte dei soli soggetti autorizzati, adeguatamente istruiti, con tracciatura degli accessi effettuati;
- ai rapporti con i fornitori, giacché il titolare del trattamento/datore di lavoro dovrebbe impartire le necessarie istruzioni al fornitore di servizi e programmi di posta elettronica, finalizzate alla disattivazione delle funzioni non compatibili con le proprie finalità del trattamento o che si pongono in contrasto con specifiche norme di settore previste dall’ordinamento, ad esempio, commisurando adeguatamente anche i tempi di conservazione dei dati ovvero chiedendo al fornitore del servizio di anonimizzare i metadati raccolti nei casi in cui non si intenda effettuare una conservazione più prolungata degli stessi.
Per agevolare il corretto svolgimento degli adempimenti cui sono tenuti i datori di lavoro sui temi in questione, è stata predisposta la “Check list di verifica dei programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati o log di posta elettronica”, scaricabile gratuitamente per tutti gli associati Federprivacy.