Il documento fornisce alcuni rilevanti chiarimenti e precisazioni ai datori di lavoro in merito all'utilizzazione di tali sistemi e agli adempimenti da porre in essere in relazione ai metadati (e di cui avevamo già dato conto in Raccolta e conservazione di metadati | DWF Group).
Più precisamente, il Garante ha, innanzitutto, ristretto il perimetro applicativo delle predette linee guida, chiarendo la nozione di "metadati" cui le stesse si riferiscono e ricomprendendovi unicamente le informazioni registrate automaticamente nei log generati dai sistemi server di gestione e smistamento della posta elettronica.
Tali informazioni, relative alle operazioni di invio, ricezione e smistamento dei messaggi (gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell'instradamento dei messaggi, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, anche l'oggetto del messaggio spedito o ricevuto) non vanno in alcun modo confuse con le informazioni contenute nei messaggi di posta elettronica stessi (o con quelle che ne fanno comunque parte integrante).
Queste ultime, pertanto, non sono soggette alle indicazioni del Garante in merito ai tempi di conservazione dei metadati e rimangono nella disponibilità dell'utente/lavoratore all'interno della relativa casella di posta elettronica.
Ciò premesso, il Garante ha poi ribadito che l'impiego di programmi e servizi informatici per la gestione della posta elettronica sul luogo di lavoro dà origine a trattamenti di dati personali riferiti agli interessati.
Per tale ragione, è necessaria, da parte del datore di lavoro, la verifica della sussistenza del presupposto di liceità del trattamento ed il rispetto delle condizioni per il lecito impiego degli strumenti tecnologici nel contesto lavorativo.
Il Garante, quindi, ha ricordato che ciò implica sia il rispetto della normativa in punto di protezione dei dati personali (e.g., informativa, eventuale DPIA) sia quella circa il controllo a distanza dei lavoratori.
Nel provvedimento che qui ci occupa, il Garante ha innovato rispetto alla prima stesura del documento di indirizzo e ha così chiarito che:
- affinchè non operino le garanzie di cui all'art. 4 della Legge 300/1970 ("Statuto dei Lavoratori"), l'attività di raccolta e conservazione di metadati necessari per il funzionamento della posta elettronica aziendale deve "essere effettuata, di norma, per un periodo limitato a pochi giorni", e ha altresì precisato che "a titolo orientativo, tale conservazione non dovrebbe comunque superare i 21 giorni" (in aumento rispetto alla precedente versione, in cui, invece, era indicato il termine di "non oltre sette" giorni);
- il periodo di conservazione resta estendibile per un tempo più ampio "solo in presenza di particolari condizioni che ne rendano necessaria l’estensione", senza che tuttavia il Garante indichi specifici termini temporali (nella prima versione, invece, erano indicate "ulteriori 48 ore").
La conservazione per un lasso di tempo ancora più esteso in assenza delle predette condizioni richiede invece, ai sensi dell'art. 4 dello Statuto dei Lavoratori, un previo accordo sindacale stipulato a tal fine e, in ogni caso, deve avvenire sempre nel rispetto del principio di limitazione della conservazione.
Ed infatti, il Garante è dell'avviso che il trattamento dei metadati generalizzato ed esteso oltre i termini temporali indicati implichi un monitoraggio sistematico dei dipendenti e, pertanto, si renda necessaria l'applicazione delle disposizioni di cui all'art. 4, comma 1, dello Statuto dei Lavoratori, potendo comportare un indiretto controllo a distanza dei lavoratori.
Alla luce di quanto precede, è necessario che i datori di lavoro:
- verifichino la compliance dei trattamenti dei metadati nell'ambito dei sistemi di posta elettronica aziendale utilizzati con la normativa in tema di protezione dei dati personali e, segnatamente, con le indicazioni di cui al documento di indirizzo appena esaminato; ciò potrebbe includere, tra le altre, una revisione delle informative nonché dei tempi di conservazione dei dati in questione;
- all'esito di tale verifica, eventualmente, provvedano a dare attuazione agli oneri di cui all'art. 4 dello Statuto dei Lavoratori.
