La conservazione dei metadati di posta elettronica dei dipendenti può configurare controllo indiretto dei lavoratori?

Con il provvedimento del 6 giugno 2024, n. 364 [doc. web n. 10026277], l’Autorità garante per la protezione dei dati personali, a seguito delle osservazioni pervenute nel corso della consultazione pubblica, ha adottato una versione aggiornata del documento d’indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”. Questo documento non introduce di per sé nuovi adempimenti, ma intende fare chiarezza sulle disposizioni applicabili ed in particolare sulle possibili implicazioni giuslavoristiche della raccolta, conservazione e analisi dei metadati di posta elettronica dei dipendenti. 

Cosa si intende per metadati

Innanzitutto, il Garante ha chiarito la definizione dei metadati, che non riguardano il contenuto del messaggio, ma comprendono le informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni client (MUA = Mail User Agent).

I metadati di un messaggio di posta elettronica includono, quindi:

• Indirizzi e-mail del mittente e del destinatario
• Indirizzi IP dei server o dei client
• Orari di invio, ritrasmissione o ricezione del messaggio
• Dimensione del messaggio e presenza/dimensione di eventuali allegati
• Oggetto del messaggio, in alcuni casi

La loro caratteristica è quella di essere registrati automaticamente dai sistemi di posta elettronica, a prescindere dalla volontà dell’utente. 

Conservazione dei metadati in materia di controlli a distanza: aspetti giuslavoristici

La raccolta e conservazione dei metadati e dei log necessari per il funzionamento del sistema di posta elettronica è consentita per un periodo limitato a pochi giorni, indicato a titolo orientativo in non oltre 21 giorni

La raccolta e conservazione prolungata dei metadati dei log di posta elettronica, “per un periodo esteso, in assenza di idonei presupposti giuridici, può comportare la possibilità per il datore di lavoro di acquisire informazioni riferite alla sfera personale o alle opinioni dell’interessato” e quindi costituire un controllo indiretto a distanza dell’attività dei lavoratori, richiedendo le garanzie previste dall’art. 4, comma I, dello Statuto dei Lavoratori (accordo sindacale o autorizzazione della direzione territoriale del lavoro).

Compliance dei datori di lavoro rispetto alla normativa

Le indicazioni dell’Autorità Garante per la protezione dei dati impongono, quindi, ai datori di lavoro, pubblici e privati, di rispettare i termini di conservazione dei metadati, come indicato nel documento di indirizzo.