Il Garante per la protezione dei dati personali ha reso noto l’esito della consultazione pubblica sulla conservazione e la corretta modulazione dei metadati presenti nelle mail.
Con il provvedimento 364 del 6 giugno 2024, il Garante per la protezione dei dati personali ha reso noto l’esito della consultazione pubblica in seguito al provvedimento del febbraio 2024 relativo alla conservazione e alla corretta modulazione dei metadati presenti nelle mail.
Un importante sviluppo che, in seguito al clamore suscitato dal precedente provvedimento, dimostra sicuramente un approccio “più morbido” al tema.
I medatati: le interpretazioni del Garante per la protezione dei dati personali
Innanzitutto, da ciò che si può constatare da una prima lettura del documento, il Garante definisce meglio cosa intende per metadati o log di posta elettronica.
I metadati cui si fa riferimento infatti «corrispondono tecnicamente alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client (le postazioni terminali che effettuano l’invio dei messaggi e che consentono la consultazione della corrispondenza in entrata accedendo ai mailbox elettroniche, definite negli standard tecnici quali MUA – Mail User Agent)».
Inoltre «tali informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto».
Infine «Gli stessi metadati come qui intesi non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate - ancorché talvolta non immediatamente visibili agli utenti dei software “client” di posta elettronica (i cosiddetti MUA - Mail User Agent) - a formare il cosiddetto envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici».
«Le informazioni contenute nell’envelope, ancorché corrispondenti a metadati registrati automaticamente nei log dei servizi di posta, sono inscindibili dal messaggio di cui fanno parte integrante e che rimane sotto l’esclusivo controllo dell’utente (sia esso il mittente o il destinatario dei messaggi). Pertanto, le indicazioni contenute nel provvedimento relativamente ai tempi di conservazione dei metadati come sopra definiti non riguardano i contenuti dei messaggi di posta elettronica (né le informazioni tecniche che ne fanno comunque parte integrante) che rimangono nella disponibilità dell’utente/lavoratore, all’interno della casella di posta elettronica attribuitagli».
I metadati: tempi di conservazione
La raccolta e conservazione dei metadati/log necessari per il funzionamento del sistema di posta elettronica è sì consentita, ma per un periodo limitato a pochi giorni, e comunque non oltre i 21 giorni, salvo dimostrati casi particolari. Da questo si evince il rispetto dei criteri e principi del GDPR, in primis quello della “responsabilizzazione del titolare del trattamento “ (i.e. accountability) nonché quello della minimizzazione del limite della conservazione (i.e. data retention) ai sensi dell’articolo 5 del GDPR.
Nel caso sussistano casistiche particolari è prevista un’estensione, nel limite di conservazione di 48 ore, come era già indicato nel precedente provvedimento del Dicembre 2023 e nota del 6 Febbraio 2024.
In conclusione…
Fermo restando che si tratta di una pronuncia, che ha suscitato molto clamore tra gli addetti ai lavori e titolari del trattamento, il Garante ha agito ragionevolmente dimostrando una certa intelligenza, indicendo una consultazione pubblica, pur non discostandosi da quando definito ex ante, ma dimostrando comunque come detto un approccio più morbido.
Si fa riferimento ai principi cardine del GDPR, in primis quello di accountability nonché alle limitazioni per il controllo a distanza dei lavoratori, sancite dal loro statuto (L. 300 n. 1970). Possiamo dire che il titolare del trattamento ha sì obblighi, ma non solo lui. I provider di posta elettronica infatti dovranno fornire sistemi congrui ed intelligenti in modo tale da coadiuvare il titolare del trattamento ad uniformarsi a tale novità normativa.
Tutte le informazioni sono consultabili direttamente sul sito del Garante, a questo link.