Col provvedimento n. 642 del 21 dicembre 2023 il Garante Privacy ha adottato un nuovo «documento di indirizzo» denominato «Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati».
La nota del 6 febbraio 2024, che si rivolge ai datori di lavoro del comparto sia pubblico che privato, nasce a seguito di presunti accertamenti che l’Autorità avrebbe effettuato sulla base di un reclamo con lo scopo di fissare regole precise sulla gestione della posta elettronica in generale e in particolare dei metadati.
Dalla verifica è emerso che alcuni programmi/servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, risultavano configurati in modo tale da “raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti” senza invece consentire ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione.
Ma cosa sono i metadati?
Il termine “metadato” deriva dall’inglese “metadata” ed indica i dati sui dati ovvero un insieme di informazioni sui dati.
Nel mondo digitale, i metadati sono quelle informazioni necessarie a un documento (informatico), affinché sia creato nel modo corretto, potendolo gestire, conservare e rendere accessibile nel tempo.
Nella pratica, i metadati sono “stringhe descrittive” di una e-mail che rappresentano le sole caratteristiche/proprietà, senza rivelarne il contenuto con eventuali allegati, sono quindi tipicamente metadati di posta: il giorno, l’ora, il mittente, il destinatario, l’oggetto e la dimensione dell’e-mail stessa.
Alcuni esempi di metadati della posta elettronica infatti includono:
mittente e destinatario, indicando chi ha inviato il messaggio e a chi è destinato;
data e ora, specificando quando il messaggio è stato inviato o ricevuto;
indirizzi IP, segnalando l’indirizzo IP del mittente e del server di posta elettronica attraverso cui è stato inviato il messaggio.
Con queste premesse, la finalità del provvedimento risulta evidente: la sicurezza informativa.
Infatti, in caso di incidente di sicurezza, l’analisi dei metadati della posta può agevolare l’individuazione della possibile causa dell’incidente (Data Breach), per quanto questo sia sempre dalle organizzazioni scongiurato.
Cosa fare quindi?
il Garante quindi chiede testualmente “ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base”.
L’obiettivo è chiaro: impedire la raccolta sistematica dei metadati, limitando il periodo di conservazione degli stessi “ad un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore”.
Ne consegue che entro al massimo 9 giorni (periodo considerato congruo sotto il profilo prettamente tecnico per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore, ritiene il Garante) i datori di lavoro dovranno eliminare tali dati.
Se per esigenze organizzative, produttive o di tutela del patrimonio anche informativo del Titolare, i datori di lavoro avessero necessità di trattare i metadati oltre i 7 + 2 gg, ecco che dovranno fare l’accordo sindacale oppure ottenere l’autorizzazione dell’ispettorato del lavoro.
In assenza, si configura un controllo (indiretto) a distanza del lavoratore assolutamente vietato per legge (art. 4 L. 300/70) con conseguenze anche penali.
Per qualsiasi chiarimento o ulteriore informazione in merito o per richiedere una consulenza specifica per la tua attività, contattaci, saremo lieti di fornirti tutte le risposte che cerchi!
Enterprise Solutions
Tel. 0584 17 16 857 (4 linee r.a.)
oppure tramite chat con un nostro operatore cliccando sul box "Serve aiuto" o sul bottone blu con i 3 puntini ". . ." nella versione Mobile.
Seguici anche su Facebook