Con Provvedimento emesso in data 6 giugno 2024 [n. 10026277] l’Autorità Garante, all’esito della consultazione pubblica, ha adottato una versione aggiornata del Documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica e della rete internet nel contesto lavorativo e trattamento dei metadati”, fornendo indicazioni in merito ai criteri che possono orientare le scelte dei datori di lavoro, nell’individuazione dell’eventuale periodo di conservazione dei metadati relativi all’utilizzo degli account di posta elettronica.
L’Autorità Garante ha, in primo luogo, indicato che i metadati a cui fa riferimento il Documento di indirizzo, corrispondono alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica e dalle postazioni che effettuano l’invio dei messaggi. Tali informazioni, distinte da quelle contenute nel corpo del messaggio o integrate nello stesso e costituenti il c.d. “envelope”, possono comprendere: gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’invio del messaggio, la presenza e dimensione di eventuali allegati, l’oggetto del messaggio spedito o ricevuto.
Ciò premesso, l’Autorità ha richiamato quanto disposto dall’art. 4, primo comma, della L. n. 300 del 1970, secondo il quale gli strumenti dai quali derivi anche un controllo a distanza dei lavoratori, possono essere impiegati per finalità organizzative, produttive e di sicurezza del lavoro e del patrimonio aziendale, previo accordo sindacale o autorizzazione dell’Ispettorato del lavoro, salvo (come indicato dal secondo comma del medesimo articolo) il caso in cui si tratti di strumenti necessari a rendere la prestazione lavorativa.
Dopo aver chiarito che non soggiacciono alle limitazioni di cui al primo comma dell’art. 4 della L. n. 300 del 1970, gli strumenti necessari a consentire l’assolvimento degli obblighi che discendono dal contratto di lavoro, ossia gli strumenti necessari a garantire lo svolgimento dell’attività lavorativa, l’Autorità ha evidenziato che è riconducibile in tale ambito: l’attività di raccolta e conservazione dei soli “metadati/log necessari ad assicurare il funzionamento delle infrastrutture e del sistema di posta elettronica”.
A tal riguardo, all’esito delle valutazioni tecniche, l’Autorità ha ritenuto che il funzionamento delle infrastrutture e del sistema di posta, sia garantito dalla conservazione dei log per un periodo di tempo limitato a pochi giorni, a titolo orientativo non superiore a 21 giorni.
Pertanto, l’eventuale conservazione per un periodo di tempo più esteso rispetto a quello indicato, potrà essere effettuata solo dopo aver documentato particolari condizioni che ne rendono necessaria l’estensione, in considerazione della specifica realtà tecnica e organizzativa del titolare (in linea con quanto disposto dal principio di accountability di cui all’art. 5, par. 2, del Regolamento).
Al contrario, l’indiscriminata raccolta e conservazione dei log di posta elettronica, per un lasso di tempo più esteso e in mancanza di condizioni che ne rendono necessaria la conservazione, potrà comportare un indiretto controllo a distanza dell’attività dei lavoratori, che richiede l’osservanza di quanto disposto dal primo comma dell’art. 4 della L. 300 del 1970, ossia l’impiego per finalità organizzative, produttive e di sicurezza del lavoro e del patrimonio aziendale e la sottoscrizione di un accordo sindacale o il rilascio dell’autorizzazione da parte dell’Ispettorato del lavoro.
