A seguito della chiusura della consultazione pubblica avviata il 22 febbraio u.s, con Provvedimento del 6 giugno 2024 – Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati – il Garante ha apportato modifiche e integrazioni al Documento di indirizzo dello scorso 21 dicembre che tante discussioni aveva suscitato.
In breve, nella versione finale, il Garante chiarisce come il Provvedimento non riguardi il tema dell’archiviazione delle e-mail dei dipendenti – che comunque, si precisa, non può essere sine die dovendo ispirarsi anche essa al principio di limitazione della conservazione – ma solo la raccolta e conservazione dei file di log separatamente archiviati dai sistemi informatici per finalità tecniche ed organizzative.
Il Garante evidenzia come i metadati – “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”, ai sensi dell’art. 4, comma 2, l. n. 300/1970 – possano essere utilizzati senza accordo sindacale o autorizzazione pubblica, solo a condizione che gli stessi siano funzionali a consentire l’esecuzione della prestazione lavorativa. Ciò vale per i metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, i quali per loro natura dovrebbero essere conservati per un periodo di tempo limitato, che secondo il Garante, “non dovrebbe comunque superare i 21 giorni”, fermo restando che il titolare può valutare l’eventuale conservazione per un termine ancora più ampio “in presenza di particolari condizioni che ne rendano necessaria l’estensione”, comprovando adeguatamente le specificità della realtà tecnica e organizzativa del titolare.
Diversamente, la generalizzata raccolta e la conservazione dei log di posta elettronica, per un lasso di tempo più esteso, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della L. n. 300/1970. Resta fermo che anche tale conservazione dovrà avvenire nel rispetto del principio di limitazione della conservazione.
Attesa la rilevanza del provvedimento, si evidenzia come il titolare del trattamento, anche quando utilizzi prodotti o servizi realizzati da terzi, debba in primo luogo verificare, con il supporto della funzione IT, le impostazioni messe a disposizione dal provider di posta elettronica, così da potersi conformare ai requisiti citati nel Documento.