Italia: Resultado de la consulta sobre los metadatos de los correos electrónicos de trabajo

La Autoridad italiana de Protección de Datos ha publicado recientemente una versión actualizada de sus directrices sobre la gestión de los correos electrónicos de trabajo y el tratamiento de los metadatos.
Esta actualización, oficializada en la Medida núm. 364 el 6 de junio de 2024, revisa las directrices anteriores (documento núm. 642 de 21 de diciembre de 2023) y proporciona aclaraciones cruciales para los empleadores.
Se produce tras la consulta pública de 30 días realizada por la Autoridad de Supervisión después de la publicación de las primeras directrices.

Como informamos previamente, el Documento núm. 642, publicado inicialmente el 21 de diciembre de 2023, introdujo nuevas directrices que limitaban la retención de los metadatos de los correos electrónicos a un máximo de siete días. Esto planteó importantes desafíos para las empresas en materia de cumplimiento y flexibilidad operativa. Los empleadores solo podían retener los metadatos de los correos electrónicos durante siete días, con una posible extensión de 48 horas en caso de necesidad demostrada, a menos que lograran un acuerdo sindical u obtuvieran una autorización de la Inspección de Trabajo, como se describe en el artículo 4 del Estatuto de los Trabajadores. Esto exigía un cuidadoso equilibrio entre el mantenimiento de la eficiencia operativa y el cumplimiento de unas estrictas normativas de protección de datos, que fueron introducidas en la reciente actualización.

Los puntos clave de las directrices actualizadas son los siguientes:

Aclaración de la definición de metadatos de correo electrónico: Una de las novedades más importantes de las directrices es la definición detallada de los metadatos de los correos electrónicos. A diferencia de las directrices anteriores, que solo ofrecían ejemplos, el nuevo documento describe los metadatos como aquella información registrada de manera automática en los registros del servidor. Esta información incluye las direcciones de correo electrónico del remitente y el destinatario, las direcciones IP, las marcas temporales, el tamaño del mensaje, los datos de los archivos adjuntos y, a veces, el asunto del correo electrónico. Es importante que los metadatos se distingan del contenido del correo electrónico o de las cabeceras técnicas (envelope) que documentan la ruta y el origen del mensaje.

Ajustes de los períodos de retención: Las directrices actualizadas amplían el período de retención permisible de los metadatos de los correos electrónicos, que pasará de los 7 días establecidos previamente a un máximo de 21 días. Este cambio reconoce la necesidad práctica de garantizar el correcto funcionamiento de los sistemas de correo electrónico y a la vez tiene en cuenta las preocupaciones en materia de privacidad. Los metadatos pueden retenerse durante más de 21 días solo en condiciones especiales, que el responsable de los datos debe justificar en virtud del principio de rendición de cuentas del RGPD. Para cualquier prórroga, deben seguirse los procedimientos de autorización establecidos en el apartado 1 del artículo 4 del Estatuto de los Trabajadores.

Las directrices actualizadas forman parte de una iniciativa más amplia de la Autoridad italiana de Protección de Datos y tienen como objetivo proporcionar orientación clara y práctica a los empleadores en materia de retención de datos de los correos electrónicos.