A cura di Damiana Lesce
Con il Provvedimento n. 364 del 6 giugno 2024, il Garante ha aggiornato il proprio documento di indirizzo n. 642 del 21 dicembre 2023 “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, la cui efficacia era stata successivamente sospesa.
La dichiara finalità del Provvedimento non è quella di prevedere ulteriori prescrizioni o introdurre nuovi adempimenti a carico dei titolari del trattamento; scopo è dare indicazioni per consentire il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica, comprese le essenziali garanzie di sicurezza informatica.
Al fine di chiarire l’ambito di applicazione del Provvedimento, viene precisata la nozione di metadati/log di posta elettronica: informazioni registrate automaticamente nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent). Tali informazioni, relative alle operazioni di invio e ricezione e smistamento dei messaggi, possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto.
I metadati/log non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate – a formare il cosiddetto envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici. Le informazioni contenute nell’envelope sono inscindibili dal messaggio di cui fanno parte integrante e che rimane sotto l’esclusivo controllo dell’utente (sia esso il mittente o il destinatario dei messaggi).
Fatta questa premessa, le indicazioni del Garante relative ai tempi di conservazione riguardano solo i metadati/log e non i contenuti dei messaggi di posta elettronica: la raccolta e conservazione dei metadati necessari ad assicurare il funzionamento della posta elettronica può essere effettuata per un periodo limitato di pochi giorni e, in ogni caso, non dovrebbe superare il limite orientativo di 21 giorni (anziché i 7 stabiliti in precedenza). Sempre nell’ambito della finalità di assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, a cui risulta applicabile il comma 2 dell’art. 4 della L. n. 300/1970, l’eventuale conservazione per un termine ancora più ampio potrà essere effettuata solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente, in applicazione del principio di accountability previsto dall’art. 5, par. 2, del Regolamento, le specificità della realtà tecnica e organizzativa del titolare. Spetta in ogni caso al titolare adottare tutte le misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati.
Diversamente, la generalizzata raccolta e la conservazione dei log di posta elettronica, per un lasso di tempo più esteso, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della L. n. 300/1970.
