Il Garante per la protezione dei dati personali adotta un atto di indirizzo al fine di rendere consapevoli i datori privati e pubblici dei rischi dei trattamenti relativi ai metadati in relazione ai diritti e libertà degli interessati.
Il Garante approfondisce, a seguito di ispezioni e provvedimenti sanzionatori e dell'aumento del numero di reclami/segnalazioni di dipendenti e associazioni sindacali, la tematica dell' utilizzo dei metadati relativi alla posta elettronica attraverso uno specifico atto di indirizzo rivolto ai datori pubblici e privati. I metadati costituiscono informazioni relativi all'utilizzo degli account di posta elettronica in uso ai dipendenti ad esempio giorno, ora, mittente, destinatario, oggetto e dimensione dell'e-mail e sono utilizzati dalle imprese per fini di sicurezza informatica es. monitoraggio di invio di allegati pesanti . L'intervento del Garante è di interesse in quanto richiama l'attenzione delle imprese e degli enti pubblici sul percorso di compliance GDPR e di azioni concrete da attuare specifiche misure organizzative e tecniche. Il GDPR non blocca i processi aziendali di registrazione e conservazione dei log dei metadati della posta elettronica ma indica un percorso virtuoso ai titolari del trattamento in coerenza con il principio di responsabilizzazione consapevole “accountability”. I titolari del trattamento imprese e pubbliche amministrazioni sono tenuti a verificare , se i sistemi informatici e programmi, raccolgono metadati e devono attivarsi con i responsabili ICT e DPO per verificare con la dovuta diligenza che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti - specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service - consentano loro di modificare le impostazioni di base, impedendo la raccolta dei predetti metadati. I datori devono verificare la possibilità di configurazione dei relativi tempi di conservazione nel rigoroso rispetto dei principi privacy by design e privacy by default , ed effettuare la valutazione di impatto privacy. Le imprese devono verificare se sono state rispettate le disposizioni dell' articolo 4 dello Statuto dei lavoratori e, in caso positivo e le relative procedure accordo con il sindacato e, in caso di mancato accordo, l'autorizzazione della direzione territoriale del Ministero del lavoro . Secondo il Garante, l' attività di raccolta e conservazione dei soli c.d. metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica , per un tempo che, all'esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione - affinché sia ritenuto applicabile il comma 2 dell' articolo 4 della l. numero 300/1970 – non può essere superiore di norma a poche ore o ad alcuni giorni, in ogni caso non oltre sette giorni , estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore. Nel caso di conservazione oltre la durata dei sette giorni, occorre attivare la procedura ex articolo 4 dello Statuto I titolari del trattamento sono tenuti al rispetto del principio di trasparenza nei confronti dei lavoratori e devono fornire ai lavoratori l'«adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli». Occorre comprendere come sarà applicato il documento del Garante nelle imprese , se saranno effettuati controlli e se il termine di sette giorni indicato nel provvedimento non sia troppo rigido in relazione alle complesse sfide delle imprese anche in materia di sicurezza informatica.
Provvedimento del Garante Privacy del 21 dicembre 2023