Il Garante per la protezione dei dati personali, il 6 giugno 2024 ha emesso il provvedimento n.364 riguardante la conservazione dei metadati e le responsabilità dei datori di lavoro, sia nel settore pubblico che privato.

Cosa sono i metadati.

I metadati sono informazioni registrate automaticamente dai sistemi di gestione della posta elettronica, sia dai server di smistamento (MTA) sia dalle postazioni client (MUA).

I metadati includono gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti, gli orari di invio, ritrasmissione o ricezione, la dimensione del messaggio, la presenza e dimensione degli allegati e, in alcuni casi, l’oggetto del messaggio. Questi dati sono registrati automaticamente e non dipendono dalla volontà dell’utente.

Le responsabilità dei datori di lavoro


Ecco i principi e le iniziative dove devono avere maggiore attenzione.

Illiceità del trattamento e necessità di garanzie.

  • L’utilizzo di programmi/servizi di gestione della posta elettronica senza le necessarie garanzie (accordo sindacale) può configurare un trattamento illecito dei metadati.
  • La raccolta preventiva e sistematica dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti richiede un accordo sindacale e la loro conservazione per un periodo limitato, solitamente entro 7 giorni più 48 ore.

Violazione del principio di correttezza e trasparenza.

  • È fondamentale che i lavoratori siano adeguatamente informati sul trattamento dei dati personali relativi alle comunicazioni elettroniche che li riguardano.
  • I datori di lavoro devono verificare che la raccolta e la conservazione dei dati avvengano nel rispetto dei principi di correttezza e trasparenza.

Principio della data retention:

  • I tempi di conservazione dei metadati devono considerare le finalità connesse alla sicurezza informativa e informatica, con l’obiettivo di individuare e mitigare eventuali incidenti di sicurezza.

Principi di privacy by design e by default:

  • I datori di lavoro devono assicurarsi che i programmi e servizi informatici utilizzati consentano all’utente di modificare le impostazioni di default per limitare o impedire la raccolta dei metadati.
  • I produttori dei servizi e delle applicazioni devono tenere conto del diritto alla protezione dei dati durante lo sviluppo e la progettazione dei loro prodotti.

Iniziative di compliance per i datori di lavoro:

  • I datori di lavoro pubblici e privati devono adottare tutte le misure necessarie per conformarsi alle indicazioni del Garante.
  • È responsabilità del datore di lavoro verificare che i programmi e servizi informatici utilizzati dai dipendenti soddisfino i requisiti di conservazione dei metadati e permettano la modifica delle impostazioni di default.
  • Le indicazioni del Garante si applicano a tutti i datori di lavoro, inclusi quelli del settore pubblico che utilizzano convenzioni o piattaforme per l’acquisto di beni e servizi, come il cloud.

Il provvedimento del Garante per la protezione dei dati personali fornisce linee guida per la corretta conservazione dei metadati da parte dei datori di lavoro e sottolinea l’importanza dei principi di correttezza, trasparenza e privacy by design e by default. È fondamentale che i datori di lavoro adottino misure di conformità e garantiscano l’informazione adeguata ai lavoratori riguardo al trattamento dei dati personali.

Condividi