GESTIONE DELLA POSTA ELETTRONICA NEL CONTESTO LAVORATIVO E TRATTAMENTO DEI METADATI
In riferimento ai trattamenti di dati personali effettuati nel contesto lavorativo il Garante della privacy ha evidenziato il rischio che programmi e servizi informatici per la gestione della posta elettronica possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email), conservando gli stessi per un esteso arco temporale.
I metadati sono dati che descrivono altri dati; sono informazioni relative ad altre informazioni.
Nel caso delle e-mail i metadati sono un insieme di dati descrivente il percorso di un messaggio di posta elettronica e necessario a far funzionare il servizio e-mail stesso.
I metadati delle e-mail non entrano mai nel merito del contenuto del messaggio e sono di solito generati dal software del mail-server; possono quindi variare a seconda del prodotto ma, di norma, comprendono gli indirizzi e-mail del mittente e del destinatario, gli indirizzi IP dei server o dei computer coinvolti nell’invio del messaggio, gli orari di invio, di ritrasmissione e di ricezione, la dimensione del messaggio, la presenza e la dimensione degli eventuali allegati e, talvolta, anche l’oggetto del messaggio spedito o ricevuto.
Con Provvedimento n. 642 dd. 21 dicembre 2023 infatti il Garante, in riferimento ai soli metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, ha sancito, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione, che il periodo di raccolta e conservazione degli stessi non può essere superiore a sette giorni, estensibili di ulteriori 48 ore in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, nel rispetto del principio di limitazione della conservazione.
La gestione dei metadati è necessaria ad amministrare correttamente il servizio di posta elettronica, ma il rispetto delle regole e dei principi sanciti dal Regolamento Ue 2016/679 e dal predetto Provvedimento potrebbe comportare problemi/limitazioni di funzionamento.
Per tale motivo l’Autorità Garante ha ritenuto opportuno avviare una consultazione pubblica della durata di 30 giorni a partire dal 16 marzo 2024, data di pubblicazione dell’avviso pubblico di avvio della medesima consultazione sulla Gazzetta Ufficiale, volta ad acquisire osservazioni e proposte in merito all’adeguatezza del termine di conservazione dei metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica e relativi alle operazioni di invio, ricezione e smistamento dei messaggi di posta elettronica ed alle forme e modalità di utilizzo di tali metadati che ne renderebbero necessaria una conservazione superiore a quella ipotizzata nel citato documento di indirizzo.
L’efficacia del documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” del 21 dicembre 2023, pertanto, è stata differita al termine della predetta consultazione pubblica.
In attesa di ulteriori determinazioni da parte del Garante all’esito della consultazione pubblica avviata, Studio Gadler rimane a Vostra disposizione per eventuali chiarimenti ed informazioni in merito.