Per quanto tempo conservare i log delle email dei dipendenti? Un nuovo provvedimento del Garante per la Privacy italiano si è concentrato proprio sulla gestione dei log (metadati) della posta elettronica dei dipendenti dando ‘indicazioni utili’ ai datori di lavoro pubblici e privati. Ma come interpretare la nuova normativa? Dei suggerimenti interessanti arrivano da Qboxmail, realtà specializzata nell’erogazione di servizi di gestione delle email calendario e contatti in Cloud, con più di 30.000 aziende clienti in Italia ed Europa, che ha cercato di fare chiarezza su come funziona la raccolta dei log delle email e di capire per quanto tempo questi dati devono essere conservati.
I Log e la loro conservazione, questi sconosciuti…
I log rappresentano i metadati essenziali nei servizi di email e comunicazioni telematiche. Nei contesti delle email, i log riguardano il flusso di messaggi, includendo accessi, invii e ricezioni.
I metadati relativi a un messaggio email sono presenti nelle email stesse (nella sezione degli header) e nei log del server di invio e ricezione. La decisione di eliminare un metadato è complessa, poiché anche se rimosso dal proprio sistema, potrebbe comunque essere tracciato sui server del mittente/destinatario. Si sottolinea che l’accesso a tali dati è consentito solo al personale autorizzato e deve escludere il contenuto effettivo delle comunicazioni.
Attualmente, tutti gli operatori di servizi telefonici o telematici sono tenuti a conservare i dati di traffico per un periodo variabile dai 6 ai 72 mesi, a seconda degli scopi del trattamento
Le nuove linee guida del Garante per la Privacy
Il provvedimento si applica agli accessi, ai metadati, eseguiti dal datore di lavoro o dal titolare del trattamento. Secondo tale disposizione, l’accesso a tali dati non è consentito se risalgono a più di 7 giorni prima, salvo estensione di 48 ore in caso di comprovate esigenze. Questa restrizione, tuttavia, non si applica se esiste uno specifico accordo sindacale tra l’azienda e i lavoratori.
Il Garante per la Privacy ha introdotto questa regolamentazione per prevenire un possibile indiretto controllo a distanza dell’attività dei lavoratori.
Cosa devono fare le aziende?
Se il datore di lavoro dispone effettivamente di questi metadati (questione da verificare con il proprio fornitore) è fondamentale che eviti di trattarli quando questi siano più vecchi di sette giorni, verificando anche se il fornitore prevede un adeguamento dei propri sistemi alle nuove disposizioni del Garante per la Privacy.
Un secondo aspetto da affrontare è la verifica di cosa prevedono le informative privacy che l’azienda, in qualità di titolare del trattamento, consegna ai dipendenti, andando ad aggiornarle di conseguenza.
Terzo aspetto da considerare è quello di contattare il proprio consulente in materia di privacy o i legali interni all’azienda per definire una strategia di adeguamento al provvedimento.
Ovviamente, se si sta accedendo a questi dati, per vari motivi, ne va disciplinato l’accesso con una specifica procedura aziendale che stabilisca:
- la nomina di chi in azienda è autorizzato ad accedere a questi dati
- quali dati possono o non possono essere acceduti
- per quali finalità questi dati possono e non possono essere trattati
- dopo quanto tempo i dati non possono più essere acceduti per le finalità definite (anche se eventualmente ancora conservati e disponibili per altri fini)
Cosa, invece, non si può fare…
Si raccomanda di non richiedere al proprio fornitore di servizio (che opera in qualità di responsabile del trattamento) di cancellare i log delle email: non è possibile perché ci sono norme e leggi che impongono ai fornitori del servizio di conservare questi log per più di 7 giorni.
È insensato anche pensare di cancellare le email più vecchie di 7 giorni, perché ai dipendenti ed all’azienda servono per lavorare e perché il provvedimento parla di metadati, che di solito risiedono altrove.
In ogni caso, se anche cancellassimo i log delle email dopo 7 giorni e cancellassimo le email più vecchie di 7 giorni, una buona parte di metadati rimarrebbe ugualmente conservata sul server del nostro corrispondente, sul quale la propria azienda non ha nessun tipo di controllo.
Qboxmail: cosa prevede per i suoi clienti
Qboxmail, fornitore di servizi in Cloud per la gestione delle email aziendali, mette a disposizione dei propri clienti lo strumento Tracemail con lo scopo di agevolare le operazioni di assistenza tecnica relativa alle problematiche delle email.
Tracemail mostra le attività di una casella email negli ultimi 30 giorni (nascondendo già l’oggetto del messaggio e l’indirizzo IP dell’utente) e deve essere utilizzato per il trattamento dati ai fini di assistenza tecnica. Inoltre ogni accesso e consultazione a Tracemail è tracciata nello strumento Registro delle Attività del Pannello di Controllo di Qboxmail. Il datore di lavoro, ovvero il titolare del trattamento, non dovrà quindi accedere ai dati più vecchi di 7 giorni, anche se eventualmente disponibili, salvo sia in essere nella sua azienda un accordo sindacale o altro che regola diversamente l’uso di queste informazioni.
Qboxmail sta valutando se ridurre a sette giorni i dati visibili in Tracemail per i soli clienti italiani.
Gli ultimi aggiornamenti
Il 27 febbraio il Garante per la Privacy ha pubblicato un nuovo documento in cui avvisa di aver attivato una consultazione pubblica al fine di “acquisire osservazioni e proposte riguardo alla congruità” e “Per rispondere alle numerose richieste di chiarimenti ricevute” relative al provvedimento in questione. La consultazione pubblica è aperta a tutti gli interessati e si concluderà dopo 30 giorni. E’ quindi probabile che il provvedimento originale verrà rivisto, rimaniamo quindi tutti in attesa di conoscere l’esito della consultazione.
