Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Email aziendali: il datore di lavoro è responsabile per la gestione dei metadati, decidendo per quanto tempo conservarli, assumendosi così i relativi rischi

Metadati ed e-mail aziendali: la “responsabilità generale” dei trattamenti dei log di trasporto, in ossequio al principio di accountability, ricade sul datore di lavoro in qualità di titolare del trattamento.

Questo è l’ulteriore principio enunciato dal Garante privacy nel Provvedimento n. 364 del 6 giugno 2024 che modifica e sostituisce il precedente Provvedimento 21 dicembre 2023, n. 642 sulla conservazione dei cc.dd. “metadati” generati e raccolti dai sistemi di posta elettronica.

L’obiettivo del Provvedimento è quello di sensibilizzare e “responsabilizzare” i datori di lavoro sui trattamenti aventi a oggetto i metadati e, in particolare, sui relativi tempi di conservazione da parte dei fornitori. Il Garante parla infatti dei c.d. log di trasporto ossia quelle informazioni raccolte automaticamente dai sistemi di posta elettronica e funzionali a garantire le operazioni di invio e recapito delle e-mail.

Si tratta dunque delle informazioni relative alle operazioni di invio, ricezione e smistamento dei messaggi, generate e registrate automaticamente dal sistema di posta elettronica e concernenti il funzionamento del servizio infrastrutturale. In altre parole, i log di trasporto costituiscono una “copia” dei dati contenuti nei messaggi di posta elettronica, elaborata e conservata a prescindere dalla percezione e dalla volontà dell’utilizzatore e funzionale esclusivamente al corretto funzionamento e al regolare utilizzo del sistema di posta, comprese le essenziali garanzie di sicurezza informatica.

Sono proprio le esigenze tecniche e organizzative atte a garantire il corretto funzionamento del sistema informatico che possono portare il datore di lavoro-Titolare del trattamento a superare il termine (indicato dal Garante in termini prettamente orientativi) di conservazione dei metadati fissato a 21 giorni.

In applicazione, infatti, del principio di accountability, tale termine è superabile senza attivare le garanzie di cui all’art. 4, co. 1 dello Statuto dei lavoratori.

Nel sottolineare la natura di indirizzo del Provvedimento, specificando che da questo non discendono prescrizioni, nuovi obblighi e responsabilità a carico del datore di lavoro, il Garante ha, tuttavia, precisato che, con riferimento alla liceità del trattamento, il datore di lavoro deve porre in essere tutte le misure necessarie per dimostrare il rispetto del principio di accountability.

A tal fine, a titolo indicativo e non esaustivo, si consiglia quindi di:

  1. fornire ai lavoratori una informativa chiara sul trattamento dei dati personali relativi alle comunicazioni elettroniche che li riguardano (indicando ad esempio: i tempi di conservazione dei dati, le finalità, lo svolgimento di eventuali controlli, ecc.)
  2. spetta al datore di lavoro, in qualità di titolare del trattamento verificare i tempi di conservazione dei metadati di trasporto praticati dai propri fornitori (nominati responsabili esterni del trattamento) e le motivazioni di carattere funzionale/tecnico dagli stessi fornite per giustificarne la conservazione per un certo periodo;
  3. c) effettuare ovvero eventualmente aggiornare la DPIA al fine di inserire tutte le misure tecniche e        organizzative da adottare al fine di mitigare il rischio.