Il Garante per la protezione dei dati personali – con provvedimento n. 364 del 6 giugno 2024, doc web 10026277 – è tornato sulla gestione della posta elettronica in ambito lavorativo e sulla gestione dei relativi log, c.d. metadati.
Rammentiamo che tali aspetti erano oggetto di un provvedimento del 21 dicembre 2023, la cui applicazione fu repentinamente sospesa e differita da parte della medesima Autorità, anche a seguito di numerose perplessità applicative manifestate a vari livelli.
L’attuale provvedimento considera i contributi richiesti dall’Autorità nel processo di revisione del provvedimento.
L’Autorità non impone nuovi adempimenti in capo ai datori di lavoro ma si propone di offrire ad enti ed aziende una sintesi della disciplina applicabile, che considera anche i numerosi provvedimenti di soft law stratificatisi nel tempo.
Il provvedimento ribadisce i principi fondamentali prescritti dalle norme europee, nazionali e regolamentari, in materia di protezione dei dati personali e di tutela dei lavoratori, per le parti più attigue alla data protection.
A guidare il datore di lavoro dovranno essere sempre i seguenti principi: i) liceità del trattamento; ii) correttezza e trasparenza; iii) conservazione limitata nel tempo; iv) accountability; v) by design e by default.
Oltre a ripercorrere in modo sistematico gli aspetti salienti delle norme che devono essere rispettate per non incorrere in sanzioni amministrative ed eventuali responsabilità penali, il Garante offre alcune delucidazioni.
L’Autorità definisce cosa debba intendersi per metadati, identificandoli come “informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client”.
Inoltre, il Garante quantifica il periodo di conservazione dei suddetti metadati in massimo 21 giorni, salvo eccezioni.
Le delucidazioni offerte ci permettono di comprendere che i suddetti limiti di conservazione non riguardano il testo dei messaggi di posta elettronica e neppure le informazioni tecniche che ne fanno parte integrante ed inscindibile.
Dal testo sembra trasparire l’intenzione del Garante di disinnescare le preoccupazioni registrate con la diffusione del precedente provvedimento, poi sospeso.
Rimangono alcuni dubbi, in particolare per quanto concerne le modalità nel concreto perseguibili per conformare i sistemi server di gestione della posta elettronica, con particolare riferimento alle soluzioni “off the shelf” in uso non soltanto alle micro imprese. Analogamente, occorre domandarsi come coordinare le prescrizioni sulla disciplina dei tempi di conservazione di parametri tecnici con il disposto dell’art. 32, GDPR, che condiziona la scelta delle misure di sicurezza – e delle relative impostazioni a criteri scelti considerando “… i costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche…”.
Le soluzioni operativamente percorribili sono proposte, tra le righe, dalla stessa Autorità, in parte in questo provvedimento, in parte nei provvedimenti stratificatisi negli anni.