Il Garante per la protezione dei dati personali ha pubblicato, venerdì 14 giugno 2024, un Documento di indirizzo, con focus particolare sui metadati “che
presentano la caratteristica di essere registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utilizzatore”.
L’Autorità ha accertato, in occasione di diverse istruttorie, che i metadati possono essere organizzati dal provider di posta in forma di archivio separato, potenzialmente intelligibile a mezzo software, restituendo al titolare, anche se non ne è immediatamente consapevole, la possibilità di acquisire informazioni riferite alla sfera personale o alle opinioni dell’interessato. Si ritiene che, proprio con riferimento a quest’ultimo passaggio, si rileva un rischio: programmi e servizi informatici per la gestione della posta elettronica, soprattutto quando commercializzati in modalità cloud, possono raccogliere, per impostazione predefinita, in modo preventivo e generalizzato i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti, conservando gli stessi per un esteso arco temporale.
I titolari del trattamento non sono dunque consapevoli di tale raccolta né della relativa tempistica: tale circostanza potrebbe comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiedendo, quindi, l’esperimento delle garanzie previste dall’art. 4, comma 1, della Legge n. 300/1970.
Il Garante ha poi esteso dagli originari 7-9 giorni a 21 giorni il periodo orientativo di data retention dei metadati: tale termine è “orientativo”, mantenendo dunque, in presenza di particolari condizioni adeguatamente comprovate, la possibilità di estenderlo senza la necessità di espletare le garanzie di cui al comma 1 dell’art. 4 dello Statuto dei Lavoratori. Il documento precisa che spetta al titolare del trattamento “accertare che siano disattivate le funzioni che non sono compatibili con le proprie finalità del trattamento” e verificare che i programmi ed i servizi informatici di gestione della posta elettronica in uso ai dipendenti “consentano al datore di lavoro di rispettare la disciplina dei dati nei termini indicati nel presente documento di indirizzo, anche con riguardo al periodo di conservazione dei metadati”.
È necessario dunque commisurare adeguatamente i tempi di conservazione, oppure chiedere al fornitore del servizio di “anonimizzare i metadati raccolti nei casi in cui non si intenda effettuare una conservazione più prolungata degli stessi”.