Il Garante per la protezione dei dati personali ha recentemente emesso il Provvedimento n. 364 del 6 giugno 2024, un documento che ridefinisce le regole del gioco in materia di gestione dei metadati delle email in ambito lavorativo.
Questo provvedimento, che sostituisce il precedente n. 642/2023, nasce da un dialogo costruttivo con le imprese e introduce importanti chiarimenti e novità, richiedendo alle aziende un’attenta revisione delle proprie pratiche per garantire la piena conformità alla normativa sulla privacy.
Cosa sono i metadati e perché sono importanti?
Al centro del provvedimento vi è una chiara definizione di “metadati”: si tratta esclusivamente dei cosiddetti “log di trasporto”, ovvero le informazioni tecniche generate e registrate automaticamente dai sistemi di posta elettronica (MTA e MUA) durante l’invio e la ricezione delle e-mail. Questi log includono dati come indirizzi e-mail dei mittenti e destinatari, data e ora di invio/ricezione, dimensione dei messaggi e informazioni sugli allegati.
È fondamentale sottolineare che il contenuto delle e-mail e i metadati strettamente connessi ad esso (ad esempio, l’oggetto del messaggio) non rientrano nell’ambito di applicazione del provvedimento.
Pertanto, l’analisi del contenuto delle e-mail per finalità aziendali (ad esempio, per prevenire la divulgazione di informazioni riservate) rimane soggetta ad altre disposizioni normative, come l’art. 4 dello Statuto dei Lavoratori.
Un nuovo equilibrio tra liceità del trattamento e termini di conservazione.
Il Garante conferma la liceità della raccolta e conservazione dei log di trasporto, purché finalizzate a garantire il corretto funzionamento e la sicurezza del sistema di posta elettronica aziendale e limitate nel tempo. In particolare, viene suggerito un termine orientativo di 21 giorni, superabile solo in presenza di “comprovate esigenze tecniche e organizzative”, adeguatamente documentate.
Questa nuova impostazione introduce un elemento di flessibilità rispetto al passato, riconoscendo che le esigenze di conservazione dei dati possono variare a seconda del contesto aziendale e delle tecnologie utilizzate.
Ad esempio, un’azienda che opera nel settore finanziario potrebbe dover conservare i log per un periodo più lungo per ottemperare agli obblighi di legge in materia di antiriciclaggio, allo stesso modo, un’azienda che ha subito un attacco informatico potrebbe aver bisogno di conservare i log per un periodo più lungo per condurre indagini forensi.
Il principio di accountability: una nuova responsabilità per le aziende.
Il provvedimento abbraccia il principio di accountability, attribuendo al datore di lavoro la responsabilità di valutare e giustificare autonomamente l’eventuale necessità di un termine di conservazione superiore ai 21 giorni. Questa valutazione deve essere supportata da una documentazione rigorosa che dimostri le specifiche esigenze tecniche o organizzative che giustificano tale scelta.
La documentazione potrebbe includere, ad esempio, una valutazione dei rischi informatici a cui l’azienda è esposta, una descrizione delle misure di sicurezza implementate e una spiegazione di come la conservazione dei log per un periodo più lungo contribuisca a garantire la sicurezza e il corretto funzionamento del sistema di posta elettronica.
Implicazioni pratiche per le imprese: un percorso verso la compliance.
Alla luce di questo provvedimento, le aziende sono chiamate a intraprendere un percorso di adeguamento che comprende diverse azioni concrete:
- Verificare i tempi di conservazione: Contattare il proprio fornitore di servizi di posta elettronica (ad esempio, Google Workspace, Microsoft 365) per accertarsi che i tempi di conservazione dei log di trasporto siano conformi alle indicazioni del Garante. Se necessario, negoziare un accordo specifico per allinearli alle proprie esigenze documentate.
- Rivedere l’informativa privacy: Assicurarsi che l’informativa privacy per i dipendenti sia aggiornata, chiara e trasparente riguardo alla raccolta e alla conservazione dei metadati delle email. Spiegate in modo semplice e comprensibile quali dati vengono trattati, per quali scopi e per quanto tempo.
- Effettuare o aggiornare la DPIA: Se non è stata ancora effettuata, una Valutazione d’Impatto sulla Protezione dei Dati (DPIA) specifica per il trattamento dei metadati della posta elettronica è fondamentale per valutare i rischi legati al trattamento dei metadati. Questa valutazione vi aiuterà a identificare e mitigare eventuali rischi per la privacy dei dipendenti e a dimostrare la vostra conformità al GDPR.
- Implementare misure di sicurezza: Assicurarsi di avere in atto misure tecniche e organizzative adeguate per proteggere i log di trasporto. Ciò potrebbe includere l’adozione di sistemi di crittografia, controlli degli accessi granulari (ad esempio, basati sui ruoli) e procedure di backup regolari.
Conclusioni: un passo avanti nella tutela della Privacy.
Il nuovo provvedimento del Garante Privacy rappresenta un importante passo avanti nella regolamentazione della gestione dei metadati delle email in ambito lavorativo. L’approccio flessibile basato sul principio di accountability offre alle aziende maggiore autonomia nella definizione dei tempi di conservazione dei dati, purché giustificata da esigenze concrete e documentate. Tuttavia, questa maggiore flessibilità comporta anche una maggiore responsabilità per le imprese, che dovranno dimostrare di aver adottato tutte le misure necessarie per garantire la protezione dei dati personali dei propri dipendenti.
In definitiva, il provvedimento del Garante Privacy n. 364/2024 traccia un nuovo corso nella gestione dei metadati delle email aziendali, invitando le imprese a un approccio più consapevole e responsabile nella tutela della privacy dei lavoratori.
Hai una domanda per l'autore?
Al codice del consumo (n.206/2005) vengono aggiunti nuovi articoli
