Il 6 giugno 2024 è arrivato dal Garante della protezione dei dati personali l’esito della consultazione pubblica rispetto al documento pubblicamente precedentemente sulla conservazione dei metadati della posta elettronica dei dipendenti. La versione aggiornata riporta importanti novità per quanto riguarda il contesto lavorativo.
Nuovo provvedimento: le novità
- Metadati: definizione più precisa
I metadati sono dati che descrivono altri dati. Sono utilizzati per fornire informazioni aggiuntive su un certo insieme di dati, migliorandone l’organizzazione, l’accessibilità e l’utilizzabilità. L’utilizzo dei metadati è fondamentale in molti campi per facilitare la ricerca, la gestione e la conservazione dei dati. Esempi pratici di metadati possono essere file multimediali, documenti digitali, biblioteche e database.
Inoltre, i metadati possono essere suddivisi in alcune categorie:
- Metadati descrittivi: descrivono il contenuto e le caratteristiche di un oggetto;
- Metadati strutturali: descrivono la struttura interna di un oggetto;
- Metadati amministrativi: forniscono informazioni per la gestione di un oggetto;
Oltre alla definizione fornita nel documento precedente, il nuovo provvedimento fornisce una definizione più chiara di cosa siano i metadati e, conseguentemente, estende il loro ambito di applicazione. Inoltre, è specificato che i metadati non debbano essere confusi con le informazioni contenute nel corpo del messaggio di posta elettronica o integrate in esso.
Dal punto di vista tecnico, i metadati sono informazioni registrate nei log generati dai sistemi serve di gestione e smistamento della posta elettronica – MTA: Mail Transport Agent – e dalle postazioni client – MUA: Mail User Agent.
- Log dei servizi di posta: metadati registrati in maniera automatica
Un’ulteriore novità sui metadati illustrata dal Garante è l’envelope costituito dagli stessi metadati. Per envelope si intende l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua origine e altri parametri tecnici.
Infine, bisogna tenere in considerazione che le informazioni dell’envelope sono inseparabili dall’email di cui fanno parte, ma rimangono sotto il controllo esclusivo dell’utente, sia esso il mittente o il destinatario.
- Metadati in ambito giuslavoristico
In materia giuslavoristica, la raccolta e la conservazione dei metadati/log necessari per il funzionamento del sistema di posta elettronica è permessa solo per un periodo limitato a pochi giorni e non oltre i 21 giorni, salvo diverse indicazioni.
In sostanza, è il contesto a guidare questa pratica, permettendo di rispettare prima e, successivamente, applicare i principi generali del GDPR, soprattutto quello dell’accountability.
Invece, per quanto riguarda il controllo a distanza, la raccolta e la conservazione generalizzata dei log di posta elettronica per un periodo più lungo potrebbe portare ad un controllo a distanza indiretto sull’attività dei lavoratori, attraverso la richiesta di garanzie previste dall’art.4, comma I del GDPR.