IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”), con particolare riguardo agli artt. 5, 6 e 88 dello stesso;

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali”, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito, “Codice”), con particolare riguardo agli artt. 113 e 114 dello stesso;

VISTI gli artt. 4 e 8 della l. 20 maggio 1970, n. 300, nonché l’art. 10 del d.lgs. 10 settembre 2003, n. 276, fatti salvi dagli artt. 113 e 114 del Codice; 

CONSIDERATO che nell’ambito di accertamenti condotti dal Garante con riguardo ai trattamenti di dati personali effettuati nel contesto lavorativo è emerso il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere, per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti, conservando gli stessi per un esteso arco temporale; ciò talvolta ponendo, altresì, limitazioni al cliente (datore di lavoro) in ordine alla possibilità di modificare le impostazioni di base del programma informatico al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi;

CONSIDERATO che, nel quadro dei compiti attribuiti al Garante volti a promuovere la consapevolezza e la comprensione del pubblico, dei titolari e dei responsabili del trattamento riguardo a norme, obblighi, rischi, garanzie e diritti stabiliti dal Regolamento anche mediante documenti di indirizzo (art. 57, par. 1, lett. b) e d), del Regolamento art. 154-bis, comma 1, lett. a), del Codice), questa Autorità ha adottato in via preliminare il documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (provv. del 21 dicembre 2023, n. 642, doc. web n. 9978728) allo scopo di richiamare l’attenzione su taluni punti di intersezione tra la disciplina di protezione dei dati e le norme che stabiliscono le condizioni per l’impiego degli strumenti tecnologici nei luoghi di lavoro;

VISTO il provv. del 22 febbraio 2024, n. 127, doc. web n. 9987885, con il quale, considerate le richieste di chiarimenti pervenute al Garante, è stata avviata una consultazione pubblica in merito alla congruità, in relazione alle finalità perseguite dai datori di lavori pubblici e privati, del termine di conservazione dei metadati (di seguito, anche “log”) generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica, sospendendo l’efficacia del predetto documento di indirizzo (v. avviso pubblico di avvio della consultazione sul termine di conservazione dei metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica, pubblicato sulla Gazzetta Ufficiale n. 64 del 16 marzo 2024);

VISTE le osservazioni e le proposte pervenute al Garante nell’ambito della predetta consultazione pubblica;

RITENUTO di apportare specifiche modifiche e integrazioni al predetto documento di indirizzo, nella prospettiva di agevolare, altresì, la comprensione dell’ambito dei trattamenti presi in considerazione e delle indicazioni fornite al fine di promuovere la consapevolezza delle scelte tecniche e organizzative dei datori di lavoro, in qualità di titolari del trattamento, nonché di prevenire iniziative e trattamenti di dati in contrasto con la disciplina in materia di protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori;

RITENUTO, inoltre, di fornire indicazioni anche in merito ai criteri che possano orientare le scelte dei datori di lavoro nell’individuazione dell’eventuale periodo di conservazione dei predetti log, ai fini dell’applicazione dell’eccezione contenuta nell’art. 4, comma 2, della l. 20 maggio 1970, n. 300 rispetto alla regola di cui al comma 1, per assicurare il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica, comprese le essenziali garanzie di sicurezza informatica;

RITENUTO, pertanto, di dover adottare una versione aggiornata del Documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (all. n. 1), che forma parte integrante del presente provvedimento;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

RELATORE il dott. Agostino Ghiglia;

DELIBERA

di adottare una versione aggiornata del Documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (all. n. 1), che forma parte integrante del presente provvedimento.

Roma, 6 giugno 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei