Il Garante privacy, con il Provvedimento del 21 dicembre 2023, n.642, aveva iniziato a fornire delle Linee Guida per i Datori di Lavoro pubblici e privati, sulla gestione della posta elettronica dei dipendenti e collaboratori.

Con il nuovo Provvedimento del 6 giugno 2024, n. 364, il Garante afferma che i metadati “non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate” e che tecnicamente si tratta di informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica e dalle postazioni client.

I metadati includono perciò: indirizzi e-mail di mittente e destinatario, indirizzi IP dei server o client coinvolti, orari di invio, ritrasmissione o ricezione, dimensione del messaggio, presenza e dimensione di eventuali allegati e, a volte, l’oggetto del messaggio.

Si tratta di dati registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla (manifestazione di) volontà dell’utente, e non vanno in alcun modo confusi con il contenuto del corpus del messaggio di testo/e-mail.

Sempre il Garante spiega come questi metadati siano in grado di formare il cosiddetto “envelope”, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici. Il Garante conclude dicendo come dette informazioni “ancorché corrispondenti a metadati registrati automaticamente nei log dei servizi di posta, sono inscindibili dal messaggio di cui fanno parte integrante e che rimane sotto l’esclusivo controllo dell’utente”.

Le informazioni dell’envelope sono inseparabili dall’email di cui ne costituiscono parte integrante, ma rimangono sotto il controllo esclusivo dell’utente, sia esso il mittente o il destinatario dei messaggi.

Circa l’applicabilità del comma II dell’art. 4 della L. n. 300/1970 o Statuto dei Lavoratori, la raccolta e conservazione dei metadati/log necessari per il funzionamento del sistema di posta elettronica è consentita per un periodo limitato a pochi giorni, e comunque non oltre i 21 giorni, salvo dimostrati casi particolari.

Dovendo assicurare il funzionamento delle infrastrutture del sistema della posta elettronica e, quindi, sempre nell’ambito della stessa finalità, l’eventuale data retention per un tempo ancora più ampio è possibile, ma solo in presenza di “particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente, in applicazione del principio di accountability, […] le specificità della realtà tecnica e organizzativa del titolare” e spetta al titolare, in caso di un’estensione ulteriore di 48 ore, “adottare tutte le misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati”.

Il Garante conclude che la raccolta e la conservazione generalizzata dei metadati dei log di posta elettronica per un periodo di tempo prolungato, anche se motivata dalla necessità di garantire la sicurezza informatica e tutelare l’integrità del patrimonio del datore di lavoro, si configura come un controllo a distanza indiretto dell’attività dei lavoratori. Questo tipo di controllo richiede senza dubbio l’adozione delle garanzie previste dall’art. 4, comma I, dello Statuto dei Lavoratori.

Nel caso di privacy by design e by default, si ritiene che il datore di lavoro/titolare del trattamento debba accertarsi che siano disattivate le funzioni che non sono compatibili con le finalità del trattamento o che si pongono in contrasto con specifiche norme di settore previste dall’ordinamento, specialmente in ambito lavorativo. Ad esempio, ciò potrebbe comportare la necessità di adeguare i tempi di conservazione dei dati o di chiedere al fornitore del servizio di anonimizzare i metadati raccolti, nei casi in cui non si intenda effettuare una conservazione più prolungata degli stessi.

La stessa dinamica si deve applicare anche ai produttori dei servizi e delle applicazioni, i quali devono tenere conto del diritto alla protezione dei dati conformemente allo stato dell’arte. Ne consegue che anche i fornitori devono contribuire a far sì che i titolari del trattamento possano adempiere ai loro obblighi di protezione dei dati, contemperando le esigenze di commercializzazione su larga scala dei propri prodotti con la conformità al GDPR.

In tale prospettiva, saranno i produttori dei servizi e delle applicazioni, in fase di sviluppo e progettazione degli stessi, a dover tenere conto del diritto alla protezione dei dati tenuto conto dello stato dell’arte.

I datori di lavoro pubblici e privati dovranno adottare tutte le misure necessarie per conformare i propri trattamenti. In particolare, spetterà al titolare del trattamento verificare con la dovuta diligenza che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti consentano all’utente/cliente, ossia al datore di lavoro, di poter modificare le impostazioni di default, impedendo la raccolta dei metadati o limitandola. Questo deve essere fatto tenendo conto del periodo massimo di conservazione previsto per i metadati.