L’Autorità Garante per la protezione dei dati personali (il “Garante Privacy”) ha pubblicato un nuovo documento di indirizzo, adottato lo scorso 6 giugno, denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (il “Documento”). Il Garante Privacy, a seguito delle osservazioni e delle proposte pervenutegli nell’ambito della consultazione pubblica indetta con provvedimento del 22 febbraio scorso, ha così aggiornato il precedente documento in materia (per maggiori approfondimenti, si veda il nostro precedente contributo disponibile qui), adottato in via preliminare allo scopo di richiamare l’attenzione su alcuni punti di intersezione tra la normativa in materia di protezione dei dati personali (i.e. il Regolamento (UE) 679/2016 – il “GDPR” e il D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018 – il “Codice Privacy”) e le norme che stabiliscono le condizioni per l’impiego degli strumenti tecnologici nei luoghi di lavoro (i.e. la L. 300/1970 e ss.mm.ii. – lo “Statuto dei Lavoratori”). L’obiettivo sotteso ai due documenti è, dunque, il medesimo: fornire indicazioni in merito al rischio, insito in alcuni programmi e servizi di gestione della posta elettronica (anche qualora commercializzati in modalità cloud) e relativo all’utilizzo di tali account in uso ai dipendenti, di raccolta dei metadati per impostazione predefinita, in modo preventivo e generalizzato e conservando gli stessi per un arco temporale troppo esteso. Il Documento ha natura meramente orientativa e non impone, dunque, in capo ai titolari del trattamento, alcun nuovo adempimento o responsabilità. Quali sono le principali novità del Documento? 1. Una definizione di “metadati” più chiara e precisa Il Garante Privacy precisa che i metadati a cui fa riferimento il Documento corrispondono alle informazioni registrate nei log generati dai server di gestione e smistamento della posta elettronica (Mail Transport Agent) e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client (i.e. le postazioni terminali che effettuano l’invio dei messaggi e che consentono la consultazione pubblica della corrispondenza in entrata accedendo a mailbox elettroniche – Mail User Agent). Tali informazioni possono comprendere gli indirizzi e-mail del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento dei messaggi, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in base al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto. Si tratta, dunque, di metadati che condividono tutti la caratteristica di essere registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e volontà dell’utente. In tale ottica, i metadati oggetto del Documento non devono in alcun caso essere confusi con quelle informazioni che costituiscono il corpo del messaggio o integrate nello stesso in modo da formare il c.d. envelope, ossia l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici e che restano inscindibili dal messaggio stesso. 2. La necessità di rispettare la normativa in materia di protezione dei dati personali Il Garante Privacy richiama l’applicabilità dei seguenti principi: 3. La necessità di rispettare le finalità e le garanzie poste dall’art. 4 dello Statuto dei Lavoratori e la previsione di un nuovo periodo di conservazione dei metadati L’art. 4, comma 2, dello Statuto dei Lavoratori prevede espressamente che gli strumenti preordinati allo svolgimento della prestazione lavorativa, in quanto funzionali all’esecuzione della stessa, non soggiacciono al regime normativo previsto dal primo comma della medesima disposizione – il quale richiede, invece, che gli altri impianti e strumenti dai quali derivi anche solo la possibilità di controllo a distanza dell’attività dei lavoratori possano essere impiegati dal datore di lavoro solo (i) per specifiche finalità (organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale), e (ii) stabilendo precise garanzie procedurali (accordo sindacale o autorizzazione pubblica). Ebbene, il Garante Privacy afferma che possa ritenersi applicabile l’eccezione di cui al predetto secondo comma dell’art. 4 all’attività di raccolta e conservazione dei soli metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema di posta elettronica se la stessa viene effettuata per un periodo limitato, che – a titolo orientativo – non dovrebbe comunque superare i 21 giorni[2], salvo specifiche necessità. Entro tali limiti di continenza, il Garante reputa che la conservazione di tali dati sia finalizzata ad assicurare il funzionamento dello strumento funzionale alla prestazione lavorativa e, quindi, tale trattamento sarebbe effettuabile dal datore di lavoro “semplicemente” dando al lavoratore adeguata informazione delle modalità d'uso di tale strumento e dell’effettuazione dei relativi controlli. La raccolta generalizzata e periodi di conservazione più estesi, invece, potendo comportare un indiretto controllo a distanza dei lavoratori, possono essere adottate soltanto nei limiti e con le garanzie di cui all’art. 4, comma 1 dello Statuto dei Lavoratori. Da ultimo, vale la pena rammentare che le predette indicazioni del Garante si applichino ai soli “metadati” come definiti dal medesimo documento di indirizzo (ossia, le informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi), non i contenuti dei messaggi di posta che rimangono nella disponibilità del lavoratore all’interno della casella di posta elettronica attribuitagli e per il trattamento dei quali non potrà prescindersi dal rispetto delle previsioni (più gravose) del primo comma dell’art. 4 citato. 4. Le possibili responsabilità dei datori di lavoro I datori di lavoro dovranno necessariamente verificare i presupposti di liceità del trattamento, garantire la correttezza e la trasparenza e rispettare il principio di limitazione della conservazione, i principi di privacy by design e privacy by default, nonché il principio di responsabilizzazione (accountability). Pertanto, al fine di evitare possibili conseguenze sia sul piano amministrativo che penale, i datori di lavoro dovranno verificare che i programmi e servizi informatici di gestione della posta elettronica gli consentano di rispettare tali principi, anche con riguardo al periodo di conservazione dei metadati previsto dal Documento. 5. Il ruolo dei fornitori dei servizi di posta elettronica Infine, il Garante Privacy pone l’accento sul ruolo dei fornitori dei servizi di posta elettronica. È infatti compito di questi ultimi contribuire a far sì che i titolari del trattamento siano in grado di adempiere ai loro obblighi in materia di protezione dei dati personali. In altri termini, il Garante Privacy impone anche ai fornitori l’obbligo di rispettare i principi di privacy by design e privacy by default. Ciò significa, dunque, che già in fase di progettazione, sviluppo, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento dei dati personali o che trattano dati personali, i produttori di tali servizi e/o applicazioni dovranno contemperare le proprie esigenze di commercializzazione su larga scala con la conformità di tali prodotti ai principi del GDPR. *** Il presente contributo è stato redatto dall'Avv. Carlo Impalà (Responsabile dell'Osservatorio TMT&DP) in collaborazione con l'Avv. Emanuele Licciardi (Responsabile dell'Osservatorio Labour) [1] Tale articolo è espressamente richiamato dagli artt. 113 e 114 del Codice Privacy in attuazione dell’art. 88 del GDPR. [2] Nel precedente documento, il Garante Privacy aveva invece previsto un periodo di conservazione non superiore a 7 giorni.