IT systems and services for e-mail management in the workplace and metadata processing

June 27, 2024

On June 6, 2024, the Italian Data Protection Authority (the “Garante”) issued an updated version of the guidelines on “IT systems and services for e-mail management in the workplace and metadata processing” (the “Guidelines”), which were originally adopted on December 21, 2023 and the enforceability of which had been temporarily suspended pending the public consultation launched by the Garante on February 22, 2024.

The Guidelines are aimed at mitigating the risk that cloud-based IT systems and services for e-mail management may by default collect metadata relating to employees’ e-mail accounts and usage and retain such metadata for extended periods of time. Indeed, inter alia, the generalized collection and retention of these metadata over extended periods of time may enable employers, without adequate legal grounds, to access personal information or opinions of the data subjects which are not relevant to employment purposes.

The Guidelines provide an overview of the provisions applicable to the processing of metadata in the context of IT systems for e-mail management in the workplace.

Among other things, the Guidelines include the following clarifications and recommendations.

  • The definition of “e-mail metadata” (or “e-mail logs”), to which the Guidelines apply.

    These metadata:
    • Correspond to the information recorded in the logs generated by mail transfer agents (MTAs) and by workstations in the interactions that occur between the various servers and, if applicable, between the servers and the clients (MUAs);
    • May include the sender and recipient’s e-mail addresses, the IP addresses of servers or clients involved in routing the message, the times of sending, retransmission, or receipt, the size of the messages, the presence and size of any attachments, and, in certain cases, depending on the e-mail system used, even the e-mail subject;
    • Are automatically recorded by e-mail systems, regardless of the user’s awareness or intent;
    • Are distinct from the information contained in the e-mail “body” or integrated within the e-mail to form what is known as the “envelope” (the envelope consisting of structured technical items documenting the message’s routing, origin, and other technical parameters). Thus, the information contained in the envelope, although corresponding to metadata automatically recorded in e-mail service logs, is not covered by the Guidelines because it is an integral part of the message itself, which remains under the control of the users (whether sender or recipient of the message), within their mailbox.
  • Regarding e-mail metadata as defined above, the Garante clarified that the procedural safeguards under Article 4(1) of Law No. 300/1970 (the “Workers’ Statute”) - which generally require employers to enter into an agreement with trade union representatives or obtain specific authorization from the Labor Inspectorate in order to implement instruments allowing the possibility of remote monitoring of employees’ activities - may be waived, as an exemption applies under Article 4(2) of the Workers’ Statute (which concerns instruments used by employees to perform work and instruments used for recording accesses and attendance at the workplace) if:
    • The collection and retention of metadata is necessary for the operation of the e-mail system;
    • The retention of the metadata is limited to a period of a few days (which, indicatively, the Garante determined to be no more than 21 days).
    • The data controller takes appropriate technical and organisational measures to ensure compliance with the principle of purpose limitation, restricted access by authorised and appropriately instructed persons only, and traceability of each such access.
  • The retention of metadata for a longer period (i) may take place under specific conditions that make it necessary and (ii) since it may involve indirect remote monitoring of employees’ activities, requires the implementation of the aforementioned procedural safeguards under Article 4(1) of the Workers’ Statute. In any event, an extended retention period shall also be defined in accordance with the storage limitation principle.
  • The Garante also reiterated the obligations for employers, as data controllers to:
    • Inform the data subjects beforehand, in a fair and transparent manner, of the processing, in order to ensure that the data subjects are fully aware of its features;
    • Establish, in accordance with the accountability principle, whether the processing presents a high risk for the rights and freedoms of the data subjects and, therefore, requires a data protection impact assessment pursuant to Article 35 of the GDPR. In this regard, the Garante, referring to the Guidelines concerning the data protection impact assessment of the Article 29 Working Party (WP 248, adopted on April 4, 2017), pointed out that this necessity arises, in particular, in the case of “collection and storage of e-mail logs, given the particular “vulnerability” of data subjects in the workplace, as well as the risk of “systematic monitoring”.
  • Additionally, the Garante emphasised the need for data controllers, when using products or services provided by third parties, to verify their compliance with the rules applicable to data processing, by issuing the necessary technical instructions to the relevant providers (e.g., in relation to the retention period of metadata). Correspondingly, service providers shall assist the data controllers in fulfilling their data protection obligations.

***

Con provvedimento del 6 giugno 2024, il Garante per la Protezione dei Dati Personali (il “Garante”) ha aggiornato il documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (il “Documento di indirizzo”), originariamente adottato il 21 dicembre 2023 e la cui efficacia era stata poi sospesa il successivo 22 febbraio per sottoporlo a consultazione pubblica.

Obiettivo del Documento di indirizzo è quello di mitigare il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano, per impostazione predefinita, raccogliere e conservare per un esteso arco temporale i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti. Ciò anche con riguardo alla circostanza che la raccolta generalizzata e la conservazione dei metadati relativi all’utilizzo da parte dei dipendenti della posta elettronica, per un periodo di tempo esteso, in assenza di idonei presupposti giuridici, può comportare la possibilità per il datore di lavoro di acquisire informazioni riferite alla sfera personale o alle opinioni dell’interessato e quindi non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore.

Il Documento di indirizzo, che è stato aggiornato alla luce delle osservazioni pervenute in fase di consultazione pubblica, contiene una ricostruzione sistematica delle disposizioni applicabili al trattamento dei metadati nel contesto dei programmi di gestione della posta elettronica in ambito lavorativo.

Fra l’altro, il Documento di indirizzo, come aggiornato, contiene le seguenti precisazioni.

  • È stata chiarita la definizione dei “metadati di posta elettronica” (o “log di posta elettronica”) a cui il Documento di indirizzo si applica.

    In specie, tali metadati:
    • corrispondono tecnicamente alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA) e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client (le postazioni terminali che effettuano l’invio dei messaggi e che consentono la consultazione della corrispondenza in entrata accedendo alle caselle di posta elettroniche, definite negli standard tecnici quali MUA);
    • possono comprendere gli indirizzi e-mail del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto;
    • sono registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utilizzatore;
    • non vanno confusi con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate – ancorché talvolta non immediatamente visibili agli utenti dei software client di posta elettronica – a formare il cosiddetto envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici. Dunque, le informazioni contenute nell’envelope, sebbene corrispondenti a metadati registrati automaticamente nei log dei servizi di posta, non sono oggetto delle indicazioni di cui al Documento di indirizzo, perché inscindibili dal messaggio di cui fanno parte integrante, che rimane sotto il controllo dell’utente (sia esso il mittente o il destinatario del messaggio), all’interno della sua casella di posta elettronica.
  • Rispetto ai metadati di posta elettronica come sopra definiti, è stato precisato che si può prescindere dalle garanzie procedurali previste dal comma 1 dell’art. 4 della L. n. 300/1970 (lo “Statuto dei Lavoratori”) – consistenti nella sottoscrizione da parte del datore di lavoro di un accordo con le rappresentanze sindacali o nell’ottenimento di un’apposita autorizzazione da parte dell’Ispettorato del lavoro – essendo applicabile l’esenzione di cui al comma 2 dello stesso articolo 4 purché:
    • la raccolta e conservazione di tali metadati sia necessaria ad assicurare il funzionamento del sistema di posta elettronica;
    • la conservazione dei metadati sia limitata a pochi giorni (a titolo orientativo, non più di 21 giorni – lasso di tempo che è stato esteso rispetto ai soli 7 giorni che il Garante aveva individuato nella versione del Documento di indirizzo adottata il 21 dicembre 2023);
    • il titolare del trattamento adotti tutte le misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti nonché la tracciatura degli accessi effettuati.
  • Pertanto, la conservazione dei metadati per un lasso di tempo più esteso, (i) può avvenire solo in presenza di particolari condizioni che la rendano necessaria (comprovando adeguatamente, in applicazione del principio di accountability, le specificità della realtà tecnica e organizzativa del titolare del trattamento) e (ii) potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie procedurali previste dall’art. 4, comma 1, dello Statuto dei Lavoratori. Resta fermo che anche tale lasso di tempo più esteso dovrà essere definito nel rispetto del principio di limitazione della conservazione.
  • Il Garante ha anche ribadito gli obblighi per i datori di lavoro, pubblici e privati, in quanto titolari del trattamento di:
    • informare gli interessati in modo corretto e trasparente del complessivo trattamento effettuato, in modo da renderli pienamente consapevoli delle caratteristiche del trattamento, prima che questo abbia inizio;
    • stabilire, in attuazione del principio di accountability, se il trattamento in questione presenta un rischio elevato per i diritti e le libertà degli interessati che renda necessaria una valutazione d’impatto ex art. 35 del GDPR. A tal proposito, il Garante, richiamando le Linee guida concernenti la valutazione di impatto sulla protezione dei dati del Gruppo di Lavoro Articolo 29 (WP 248 adottate il 4 aprile 2017) ha precisato che tale necessità ricorre, in particolare, in caso di “raccolta e memorizzazione dei log della posta elettronica, stante la particolare ‘vulnerabilità’ degli interessati nel contesto lavorativo, nonché il rischio di ‘monitoraggio sistematico’, inteso come ‘trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti”.
  • Inoltre, il Garante ha sottolineato la necessità che i titolari del trattamento, quando utilizzano prodotti o servizi realizzati da terzi, verifichino la loro conformità ai principi applicabili al trattamento dei dati, impartendo le necessarie istruzioni tecniche ai relativi fornitori (ad esempio, proprio in relazione ai tempi di conservazione dei metadati). Correlativamente, i fornitori devono contribuire a garantire che i titolari del trattamento possano adempiere ai loro obblighi di protezione dei dati, contemperando le esigenze di commercializzazione su larga scala dei propri prodotti con la conformità degli stessi ai principi del GDPR, anche nella prospettiva di migliorare il prodotto offerto, sotto il profilo della sua maggiore conformità al GDPR.