Come preannunciato già da questo Studio in virtù del fortissimo impatto che le prescrizioni di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (provv. del 21 dicembre 2023, n. 642, doc. web n. 9978728) avrebbero comportato sulla quotidianità operativa dei lavoratori e delle aziende e soprattutto verso le società che forniscono servizi cloud Saas e di gestione mail, si vuole dar un piccolo respiro, l’Autorità Garante ha deciso di avviare una consultazione pubblica, dalla durata di 30 giorni a partire dalla data di pubblicazione del provvedimento, volta ad acquisire osservazioni e proposte riguardo alla congruità del termine di conservazione dei metadati degli account dei servizi di posta elettronica dei lavoratori (giorno, ora, mittente, destinatario, oggetto, dimensione dell’e-mail), ed anche più in generale alle forme e modalità di utilizzo di tali metadati che ne renderebbero necessaria una conservazione superiore a quella ipotizzata nel citato documento di indirizzo.
Com’è noto, avuto riguardo agli accertamenti condotti dal Garante, nell’ambito dei trattamenti di dati personali effettuati nel contesto lavorativo è sorto il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere per impostazione predefinita, in forma preventiva e generalizzata, metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti, conservando gli stessi per un ampio arco temporale.
A tal proposito, al fine di prevenire trattamenti di dati personali non conformi al quadro normativo, i datori di lavoro pubblici e privati avrebbero dovuto adottare misure necessarie a conformare i propri trattamenti alla disciplina di cui trattasi e a quella di settore, pena la responsabilità penale ed amministrativa degli stessi.
L’Autorità, tramite il documento di indirizzo di cui sopra, indicava in 7 giorni, estensibili di 48 ore per comprovate esigenze, il periodo di conservazione dei metadati degli account di servizi di posta elettronica, imponendo dunque al datore di lavoro la diligente e necessaria modifica delle impostazioni di base ed impedendo la racconta o limitando il periodo di conservazione dei predetti.
Questa consultazione, che avrà come primo effetto quello di interrompere i termini di prescrizione fino al termine della conclusione della consultazione pubblica, evidenzia uno spiraglio di apertura da parte dell’Autorità ad una mediazione tra l’interesse normativo e la capacità effettiva di attuazione tecnologica, per non parlare poi dell’effettiva utilità che invece dai metadati si avvantaggerebbero non solo le società ma soprattutto i lavoratori (a quanti non capita di utilizzare i metadati per ricercare nelle mail info importanti per lavorarci meglio?)
Il termine di efficacia del provvedimento quindi, viene differito al termine della conclusione della consultazione pubblica, all’esito della quale l’Autorità si riserverà di adottare ulteriori determinazioni o, in caso di mancata adozione di ulteriori determinazioni, al sessantesimo giorno successivo la scadenza del termine per la presentazione dei contributi richiesti nell’ambito della consultazione stessa.
In allegato,
il Comunicato del Garante per la protezione dei dati personali “Avviso pubblico di avvio della consultazione sul “termine di conservazione dei metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica”.
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9987602
