In data 06 Giugno 2024 l’Autorità Garante Privacy ha emanato un Provvedimento per tutte le organizzazioni con dipendenti relativo all’obbligo di definire un periodo congruo per la conservazione dei metadati/log generati dagli MTA/MUA generati dalle email aziendali.
I metadati cui fa riferimento il presente documento di indirizzo, sottoposto a consultazione pubblica, corrispondono tecnicamente alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client (le postazioni terminali che effettuano l’invio dei messaggi e che consentono la consultazione della corrispondenza in entrata accedendo ai mailbox elettroniche, definite negli standard tecnici quali MUA – Mail User Agent)”.
Tali metadati possono contenere le seguenti tipologie di dati:
- gli indirizzi email del mittente e del destinatario;
- gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio;
- gli orari di invio, di ritrasmissione o di ricezione;
- la dimensione del messaggio;
- la presenza e la dimensione di eventuali allegati.
Il tema della conservazione di tali metadati è divenuto oggetto di attenzione da parte dell’Autorità in quanto esso rappresenta una forma di tutela dei lavoratori collegando, infatti, tale fattispecie alla normativa del Rapporto di Lavoro ( Art. 4 Statuto dei Lavoratori).
La stessa Autorità consiglia/suggerisce un tempo di conservazione pari a n. 21 giorni.
Il Garante chiarisce, inoltre, che la conservazione per un termine superiore ai 21 giorni è possibile; ma in presenza di particolari condizioni che ne rendano necessaria l’estensione, e che devono essere specificate da ciascun Titolare del Trattamento nel rispetto del principio di Accountability.
Spetta in ogni caso al titolare adottare tutte le misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati.
Diversamente, la generalizzata raccolta e la conservazione dei log di posta elettronica, per un lasso di tempo più esteso, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta L. n. 300/1970 […]. Resta fermo che anche tale conservazione dovrà avvenire nel rispetto del principio della limitazione della conservazione”. Infatti, nel caso di conservazione oltre il termine di 21 giorni e in assenza delle condizioni necessarie ai sensi dell’art.4 dello Statuto dei Lavoratori, il titolare dovrebbe richiedere l’autorizzazione all’Ispettorato del Lavoro.
Il Garante ricorda che il titolare del trattamento, ossia il datore di lavoro, dovrà rendere edotti i lavoratori circa le scelte operate con riguardo alla conservazione dei metadati/log delle email.
Pertanto, dopo avere verificato l’applicabilità delle indicazioni ed impostato i tempi di conservazione dei metadati, il personale dovrà essere opportunamente informato.
Il Titolare è tenuto alla predisposizione di una DPIA nella quale valutare il tempo di conservazione in collaborazione con la struttura “gestore della posta elettronica” e il conseguente impatto sui diritti degli interessati.
- CONSIDERAZIONI
Il Presente Provvedimento ha originato diversi confronti e posto sul piano importanti scenari quali:
- La conservazione dei metadati necessaria per l’esercizio esercitare o difendere un diritto cui è riconosciuta tutela giuridica.
- Problematiche relative alla Cybersecurity e all’analisi informatico-forense.
- Gestione di una Data Breach.
La finalità del Provvedimento è sicuramente quella di sensibilizzare e responsabilizzare sia i Datori di Lavoro a verificare le impostazioni dei sistemi di posta elettronica in uso presso le loro organizzazioni che i Provider dei sistemi di Posta Elettronica a rispettare i propri doveri.