• Highlights>
  • Email aziendali e Privacy: Provvedimento Garante Privacy 06.06.2024 e le regole per la gestione corretta dei metadati

Email aziendali e Privacy: Provvedimento Garante Privacy 06.06.2024 e le regole per la gestione corretta dei metadati

01/07/2024

Lo scorso dicembre il Garante della Privacy aveva pubblicato delle linee guida relative alla gestione dei metadati dei dipendenti riferite agli account di posta elettronica, che avevano suscitato forte allarme tra le imprese, tanto da dar luogo ad una consultazione pubblica.

Con il Provvedimento Garante Privacy 06.06.2024 – Doc. n. 1002677 [Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati]  è stata chiarita la definizione di metadati ed è stato delineato l’ambito di applicazione del precedente provvedimento di dicembre.

Il primo provvedimento riferito alle linee guida per il trattamento dei dati personali dei dipendenti pubblicato a febbraio dal Garante prevedeva che i datori di lavoro che utilizzano programmi forniti anche in modalità cloud per la gestione della posta elettronica dovevano limitare ad un massimo di 7 giorni (estendibili di 48 ore) la raccolta automatica dei metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti, intendendo ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email. Per periodi di conservazione più lunghi si rendeva necessario l’accordo sindacale o l’autorizzazione dell’Ispettorato del Lavoro.

Il Documento di indirizzo 06.06.2024 fa una distinzione importante tra i metadati generati e raccolti automaticamente dai sistemi di gestione della posta elettronica e le informazioni che sono parte integrante del messaggio stesso.
La definizione aggiornata e più precisa di metadati specifica che sono oggetto del nuovo provvedimento solamente i dati registrati automaticamente dai sistemi di posta elettronica indipendentemente dalla percezione e dalla volontà dell’utilizzatore.
Sono quindi escluse tutte le informazioni contenute nel corpo dell’email e nel cosiddetto “envelope”, cioè l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici.
Il Garante ha specificato che “Le informazioni contenute nell’envelope, ancorché corrispondenti a metadati registrati automaticamente nei log dei servizi di posta, sono inscindibili dal messaggio di cui fanno parte integrante e che rimane sotto l’esclusivo controllo dell’utente (sia esso il mittente o il destinatario dei messaggi).
Il nuovo testo, che aggiorna le vecchie regole, sembra giungere ad un punto di equilibrio rispetto alle questioni sollevate: si rivede la definizione dei metadati ora intesi come le informazioni che il sistema di posta elettronica registra automaticamente e che quindi non vanno confusi con i dati contenute nel corpo dei messaggi o che formano il cosiddetto “envelope”, cioè l’insieme delle intestazioni tecniche strutturate che documentano la sua provenienza e altri parametri tecnici.
Pertanto, le indicazioni contenute nelle linee guida e relative ai tempi di conservazione dei metadati, intesi secondo la nuova definizione, non riguardano i contenuti dei messaggi di posta elettronica (né le informazioni tecniche che ne fanno comunque parte integrante) che rimangono nella disponibilità dell’utente/lavoratore, all’interno della casella di posta elettronica.

I metadati invece che devono essere cancellati riguardano l’attività di raccolta e conservazione dei metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, sottolinea il Garante, che può essere effettuata, di norma, per un periodo limitato a pochi giorni. La conservazione non dovrebbe comunque superare i 21 giorni.
L’eventuale conservazione per un termine ancora più esteso sarà possibile solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, le quali dovranno essere comprovate adeguatamente secondo il principio di accountability.

Per tutti i datori di lavoro è quindi necessario effettuare una analisi dei propri programmi e servizi informatici di gestione della posta elettronica ai fini del trattamento dei c.d. metadati: dovranno essere individuati i metadati che devono essere cancellati in modo sistematico a seguito di una precisa valutazione del datore di lavoro secondo il principio di accountability e stabilite in ogni caso politiche di conservazione chiare in conformità al nuovo documento di indirizzo.


Progesa sarà in grado di assicurarvi l’implementazione delle procedure e della documentazione necessaria, un'adeguata formazione del personale incaricato, una verifica della documentazione già in essere oltre che la verifica periodica del sistema impostato.

Prenota il tuo appuntamento
Contatti Contatti Vuoi metterti in contatto con un nostro consulente? Scrivici, saremo lieti di dare tutto il nostro supporto alle tue esigenze.
Condividi linkedin share
Copyright © 2017-2025 Progesa Spa
Sede di Mantova: Viale Italia, 21 46100 Mantova Tel +39 0376 384898
Sede di Milano: Via Giotto, 3 20145 Milano

PEC: progesasrl@pcert.it

Capitale Sociale: € 250.000,00 i.v.
P.IVA: 01563680204 | REA: 167159
Siglacom - Internet Partner