CONSERVAZIONE METADATI E FILE DI LOG: LIMITI DA NON SUPERARE E ADEMPIMENTI DA ATTUARE

Un recente Provvedimento del Garante per la protezione dei dati personali ha riportato l’attenzione su un tema spesso trascurato ma di grande rilevanza per tutte le organizzazioni: la raccolta e la conservazione dei metadati della posta elettronica e dei log di navigazione internet dei dipendenti.
La vicenda, che ha interessato la Regione Lombardia, merita un’attenzione attenta in quanto offre indicazioni vincolanti per qualsiasi datore di lavoro, pubblico o privato che sia.

COSA SONO I METADATI E I LOG DI NAVIGAZIONE
I metadati della posta elettronica sono informazioni tecniche generate automaticamente dai sistemi (server e client) che gestiscono e instradano il messaggio (indirizzo e-mail di mittente e destinatario, data, ora, oggetto e dimensione dei messaggi, esiti di consegna).
I log di navigazione sono registrazioni dei siti visitati, degli orari di accesso e dell’indirizzo IP utilizzato.

Questi dati, pur non contenendo i contenuti delle comunicazioni o delle attività, sono considerati dati personali. Se raccolti e conservati in modo sistematico, possono generare ricostruzioni comportamentali molto dettagliate tali da integrare un controllo a distanza dell’attività posta in essere dai lavoratori, motivo per cui il loro trattamento richiede particolari tutele.

Con il predetto Provvedimento, il Garante ha ribadito che, salvo comprovate esigenze tecniche, la conservazione dei metadati non può superare i 21 giorni, mentre la conservazione dei log di navigazione non può superare i 90 giorni.
Superato questo termine, il datore di lavoro è obbligato ad attivare le procedure previste dall’articolo 4 della L. n. 300/1970, ovvero raggiungere un accordo con le rappresentanze sindacali aziendali, oppure ottenere un’autorizzazione da parte dell’Ispettorato del Lavoro territorialmente competente.
La mancata attivazione di queste procedure rende illegittimo il trattamento.

Il trattamento dei metadati e dei log di navigazione consistendo di fatto in un monitoraggio sistematico di soggetti in posizione di subordinazione, come sancito dal Garante, può comportare un rischio elevato per i diritti e le libertà dei lavoratori.
In questi casi, pertanto, risulta obbligatoria la predisposizione di una Valutazione d’impatto sulla protezione dei dati (DPIA), volta ad analizzare le finalità del trattamento dei dati, i rischi per gli interessati, e le misure tecniche e organizzative adottate per mitigarli.
L’assenza di una valutazione di impatto nelle predette situazioni rappresenta una violazione dell’art. 35 del Reg. Ue 2016/679.

MISURE DA ADOTTARE PER ESSERE CONFORMI
Le misure da adottare per essere conformi alla normativa, alla luce anche di quanto sancito all’interno del predetto Provvedimento sono:

• riduzione dei tempi di conservazione,
• anonimizzazione dei dati, se conservati oltre i limiti,
• limitazione degli accessi solo a personale autorizzato,
• cifratura dei dati che permettono di associare dispositivi ai singoli dipendenti,
• verifiche solo a livello di struttura e non sui singoli lavoratori.

Risulta necessario, inoltre, aggiornare le informative privacy, le policy interne e i registri dei trattamenti per riflettere correttamente queste attività.
Gestire i metadati e i log di navigazione in modo corretto non è solo un obbligo normativo, ma anche un elemento di rispetto e trasparenza nei confronti dei propri lavoratori.

Studio Gadler rimane a disposizione per ogni chiarimento.