E-mail sul lavoro: consultazione del Garante Privacy sui tempi di conservazione dei metadati

Con Provvedimento n. 127 del 22 febbraio 2024 il Garante Privacy torna sulla questione della conservazione delle email dei dipendenti nelle aziende per lanciare una consultazione pubblica volta ad acquisire osservazioni e proposte riguardo alla congruità del termine di conservazione dei metadati.

La Consultazione mette “in stand-by” il Documento di indirizzo per le imprese: “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, che il Garante aveva pubblicato ad inizio mese.

Mail e conservazione di Metadati: una Consultazione pubblica

La Consultazione pubblica coinvolgerà datori di lavori pubblici e privati e riguarderà la conservazione dei metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica e relativi alle operazioni di invio, ricezione e smistamento dei messaggi di posta elettronica.

I contributi richiesti riguarderanno forme e modalità di utilizzo di tali metadati che ne renderebbero necessaria una conservazione superiore a quella ipotizzata nel documento di indirizzo del Garante di inizio febbraio 2024.

Alla fine della consultazione il Garante valuterà poi, se fornire ulteriori determinazioni.

Cosa contengono i metadati delle e-mail aziendali?

Possono comprendere gli indirizzi e-mail del mittente e del destinatario, gli indirizzi IP dei server o dei computer coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione e di ricezione, la dimensione del messaggio, la presenza e la dimensione degli eventuali allegati, in certi casi anche l’oggetto del messaggio spedito o ricevuto.

E-mail e metadati: una questione di privacy

La conservazione dei metadati è maturata nell’ambito di accertamenti condotti dal Garante con riguardo ai trattamenti di dati personali effettuati nel contesto lavorativo.

Secondo il Garante è emerso il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere, per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti, conservando gli stessi per un esteso arco temporale.

Tali sistemi, inoltre, pongono limitazioni al cliente (datore di lavoro) in ordine alla possibilità di modificare le impostazioni di base del programma informatico al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi.

Come partecipare alla consultazione pubblica sulla conservazione delle e-mail aziendali

Tutti i soggetti interessati potranno presentare le proprie osservazioni, i commenti, le informazioni, le proposte e tutti gli elementi ritenuti utili, entro 30 giorni dalla pubblicazione dell’avviso pubblico sulla Gazzetta Ufficiale (non ancora avvenuta)

Le osservazioni possono essere inviate all’indirizzo del Garante di Piazza Venezia n. 11, 00187 – Roma, ovvero all’indirizzo di posta elettronica protocollo@gpdp.it oppure protocollo@pec.gpdp.it.