Faro del Garante sulla gestione della posta elettronica: il nuovo Documento di indirizzo

Il Garante per la protezione dei dati personali (di seguito: Garante) nello scorso mese di febbraio aveva avviato una consultazione pubblica sul Documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, adottato lo scorso 21 dicembre 2023, n. 642, che aveva aperto un ampio dibattito tra gli esperti del settore e sollevato non poche criticità.

Il nuovo provvedimento del Garante

Al termine della consultazione il Garante (di seguito: Garante), con il provvedimento n. 346 del 6 giugno 2024, ha adottato, alla luce delle osservazioni pervenute, una versione aggiornata con l’obiettivo dichiarato di orientare le scelte dei datori di lavoro al fine di assicurare il corretto funzionamento e il regolare utilizzo di uno strumento essenziale per l’organizzazione aziendale. Interessanti le novità.

La definizione

Si delimita più chiaramente l’ambito di applicazione: i metadati oggetto del documento, non sono le informazioni contenute nel corpo del messaggio di posta elettronica, ma quelle registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica e dalle postazioni clienti.  Come già riportava il Documento dello scorso dicembre, sono gli indirizzi email del mittente e del destinatario, l’IP dei server o dei client coinvolti, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in determinati casi, l’oggetto del messaggio spedito o ricevuto. Tali metadati presentano la caratteristica di essere registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utilizzatore.

La dichiarazione di principio

Il Garante sottolinea, comunque, che il Documento di indirizzo non prevede nuovi adempimenti o nuove responsabilità per i titolari ma intende, al contrario, offrire una ricostruzione sistematica delle disposizioni applicabili in tale specifico ambito, al fine di richiamare l’attenzione su alcuni punti d’intersezione tra la disciplina di protezione dei dati e le norme che stabiliscono le condizioni per l’impiego degli strumenti tecnologici nei luoghi di lavoro.

GDPR e Statuto dei lavoratori

Premesso (ove fosse necessario), che anche i programmi e servizi di posta elettronica danno luogo a “trattamenti” di dati personali, riferiti a “interessati”, identificati o identificabili, è necessario che il datore di lavoro, in quanto titolare del trattamento, verifichi la sussistenza di un idoneo presupposto di liceità, rispettando le condizioni per il lecito impiego di strumenti tecnologici nel contesto lavorativo.

Oltre a verificare la sussistenza dei presupposti di liceità stabiliti dall’art. 4 della legge 20 maggio 1970, n. 300, cui fa rinvio l’art. 114 del Codice, va assicurato il rispetto del divieto per il datore di lavoro di acquisire e comunque trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata. Il titolare è anche tenuto a fornire agli interessati, in modo corretto e trasparente, una chiara rappresentazione del trattamento effettuato e delle sue caratteristiche, prima che lo stesso abbia inizio.

Sul punto il Garante richiama il principio di accountability, sottolineando come spetti al titolare valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalità perseguite, tale da rendere necessaria una preventiva valutazione di impatto sulla protezione dei dati personali.

A titolo orientativo, proprio in considerazione della valenza del principio di accountability, si afferma che l’attività di raccolta e conservazione dei metadati/log, necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, possa essere effettuata solo per un periodo limitato; la conservazione non dovrebbe comunque superare i 21 giorni.

L’eventuale conservazione per un termine ancora più ampio è possibile, in presenza di particolari condizioni che ne rendano necessaria l’estensione; occorre però comprovare adeguatamente, sempre in applicazione del principio di accountability, le specificità della realtà tecnica e organizzativa del titolare che determinano tale esigenza.

Inoltre, sarà sempre il titolare a dover adottare tutte le misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati.

Rimane ferma la convinzione che la generalizzata raccolta e la conservazione dei log di posta elettronica, per un periodo più esteso, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richieda l’applicazione delle garanzie previste dall’art. 4, comma 1, dello Statuto.

Garanzie che, al contrario non trovano applicazione agli strumenti di registrazione degli accessi e delle presenze e per lo svolgimento della prestazione, in quanto funzionali all’assolvimento degli obblighi che discendono direttamente dal contratto di lavoro (presenza e esecuzione della prestazione lavorativa).

Le responsabilità dei datori di lavoro

Oltre al sottolineare i principi del GDPR che i titolari sono tenuti a rispettare (liceità, trasparenza, limitazione, privacy by design e by default) e a comprovare per l’intero ciclo di vita dei dati, il Garante pone l’accento sulle adeguate misure tecniche e organizzative che devono essere adottate al fine di garantire il rispetto della disciplina in materia di protezione dei dati, oltre a quella specifica di settore.

Ne deriva che, anche quando utilizza prodotti o servizi realizzati da terzi, il titolare del trattamento deve verificare, anche avvalendosi del supporto del Responsabile della protezione dei dati, la conformità ai principi applicabili al trattamento dei dati adottando, nel rispetto proprio del principio di accountability, le opportune misure tecniche e organizzative e impartendo le necessarie istruzioni al fornitore del servizio.

Un richiamo ai fornitori

Anche i fornitori, pertanto, devono contribuire a far sì che i titolari del trattamento possano adempiere ai loro obblighi di protezione dei dati, contemperando le esigenze di commercializzazione su larga scala dei propri prodotti con la conformità al GDPR, già in fase di progettazione di servizi e prodotti; principio questo già affermato dall’EDPB[1].

Spetta, comunque, al titolare del trattamento verificare che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti -specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service– consentano al cliente (datore di lavoro) di rispettare la disciplina di protezione dei dati nei termini indicati nel Documento di indirizzo, anche con riguardo al  periodo di conservazione dei metadati.

Da ultimo, si fa presente che le indicazioni di cui al Documento di indirizzo si applicano anche in ambito pubblico, laddove i programmi e servizi informatici in oggetto siano acquistati mediante le convenzioni/piattaforme che le pubbliche amministrazioni devono o possono utilizzare per l’acquisto di beni e servizi.

Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA.

[1] Cfr. EDPB Report “2022 Coordinated Enforcement Action Use of cloud-based services by the public sector” del 17/1/23 gennaio 2023, che reca indicazioni sulle misure tecniche e organizzative necessarie ad assicurare il rispetto del Regolamento in tale contesto, garantendo, in particolare, che i fornitori dei servizi cloud trattino i dati personali solo per conto dei rispettivi titolari e sulla base delle istruzioni da questi ricevute.