Il Garante della privacy aggiorna le sue indicazioni sul trattamento dei metadati in ambito lavorativo.

Con il provvedimento del 6 giugno 2024 il Garante ha aggiornato le sue indicazioni in merito al trattamento dei metadati relativi alla posta elettronica dei lavoratori.

Questo documento nasce in seguito alla consultazione pubblica aperta dall’Autorità stessa lo scorso febbraio.

Con questo provvedimento sono state introdotte importanti novità, prima fra tutte la definizione di metadato. Si legge nel provvedimento “I metadati cui fa riferimento il presente documento di indirizzo, sottoposto a consultazione pubblica, corrispondono tecnicamente alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client (le postazioni terminali che effettuano l’invio dei messaggi  e che consentono la consultazione della corrispondenza in entrata accedendo ai mailbox elettroniche, definite negli standard tecnici quali MUA – Mail User Agent)”.

Un’ulteriore e, forse la più rilevante, novità introdotta è quella in tema di data retention con conseguenti riflessi sul piano giuslavoristico; la raccolta e conservazione dei soli metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica può essere effettuata per un periodo limitato di tempo non superiore ai 21 giorni salvo casi particolari da dimostrare volta per volta. Resta fermo il principio di accountability in capo di ogni titolare del trattamento.

Per ultimo, ma non per importanza, il ruolo dei fornitori di servizi negli eventi che sono stati descritti, ai quali il Garante chiede di non essere solo meri produttori ma di contribuire a far sì che i titolari del trattamento possano adempiere ai loro obblighi di protezione dei dati secondo le disposizioni del GDPR.

Il provvedimento del Garante costituisce un ulteriore tassello nel corretto e lecito trattamento dei dati personali dei lavoratori, equilibristi nel complesso mondo del lavoro.

Per il testo completo del provvedimento
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10026277