Gestione metadati delle mail aziendali: alcuni chiarimenti per una corretta applicazione
Il recente aggiornamento del Garante, emanato a seguito di una consultazione pubblica, è destinato a chiarire e migliorare il precedente provvedimento del 22 febbraio 2024, che aveva suscitato numerose critiche
Con il provvedimento del 6 giugno 2024, il Garante Privacy ha aggiornato ed integrato il proprio “Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”. Questo aggiornamento segue una consultazione pubblica ed è destinato a chiarire e migliorare il precedente provvedimento del 22 febbraio 2024, che aveva suscitato numerose critiche di voci autorevoli e professionisti del settore.
La genesi del Documento di indirizzo
La genesi del Documento di indirizzo è da attribuire ad una serie di accertamenti sui trattamenti di dati personali in ambito lavorativo effettuati dall’Autorità, nel corso dei quali si è riscontrato il rischio che programmi e servizi informatici per la gestione della posta elettronica, offerti da fornitori in modalità cloud, possano raccogliere automaticamente e in maniera generalizzata i metadati relativi all’uso degli account e-mail dei dipendenti, conservandoli per lunghi periodi e senza adeguati controlli.
Il Garante ha, dunque, pubblicato un primo Documento di indirizzo in data 22 febbraio 2024, poi recentemente aggiornato, ribadendo che si tratta di mere indicazioni di comportamento e che ciascun soggetto, nel rispetto del principio di accountability, è libero di adottare misure e impostazioni differenti per il funzionamento del proprio sistema di posta elettronica, se ritenute più adeguate alla propria organizzazione.
L’ambito di applicazione: i log di comunicazione elettronica
In primo luogo, a seguito della “ampiezza” dell’ambito di riferimento del Provvedimento che è stata segnalata in sede di consultazione pubblica, il Garante ha circoscritto l’applicabilità del documento ai soli metadati corrispondenti alle informazioni registrate nei log di comunicazione elettronica, ossia alle “informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi [che] possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto”.
I dati così ottenuti sono registrati automaticamente dai sistemi di posta elettronica, a prescindere, cioè, dalla percezione e dalla volontà dell’utilizzatore. Pertanto, il Garante ha ritenuto che tali metadati dovrebbero essere trattati nel rispetto del Documento di indirizzo, ossia stabilendo un periodo di conservazione limitato ed individuando la corretta finalità del trattamento.
La stessa Autorità ha escluso espressamente dal perimetro del Provvedimento le informazioni contenute nei messaggi di posta elettronica (il c.d. “ envelope ”), soggette ai periodi standard di data retention, poiché costituiscono informazioni inscindibili dal messaggio di cui fanno parte integrante e rimangono sotto l’esclusivo controllo dell’utente.
La finalità del trattamento ed il periodo di conservazione: attenzione al rispetto dell’art. 4 dello Statuto dei Lavoratori
I due aspetti cruciali del nuovo Documento di indirizzo riguardano, da un lato, il periodo di conservazione dei log, precedentemente individuato in 7 giorni, dall’altro la stretta connessione di tale attività di conservazione con le disposizioni di cui alla L. 300/1970 (“ Statuto dei Lavoratori ”).
Va premesso che, come noto, l’articolo 4 dello Statuto dei Lavoratori individua, al primo comma, le finalità per le quali possono essere impiegati strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, comunque esclusivamente a seguito dell’attivazione di precise garanzie procedurali (accordo con le rappresentanze sindacali o, in mancanza di accordo, autorizzazione da parte dell’Ispettorato del Lavoro). Tali adempimenti, invece, ai sensi del successivo comma 2 non sono richiesti per quegli strumenti “ di registrazione degli accessi e delle presenze” e per quelli “utilizzati del lavoratore per rendere la prestazione lavorativa ”.
Ciò detto, il Garante ha ritenuto che affinché possa essere applicato il comma 2 sopra richiamato, l’attività di raccolta e conservazione dei metadati corrispondenti alle informazioni registrate nei log di comunicazione elettronica deve avvenire al solo fine di assicurare il funzionamento delle infrastrutture del sistema di posta elettronica e, di norma, per un periodo non superiore a 21 giorni.
Sempre al fine di assicurare il funzionamento delle infrastrutture del sistema di posta elettronica, l’Autorità ha chiarito che tale termine di 21 giorni non è vincolante: un’eventuale conservazione per periodi maggiori può essere giustificata, purché il Titolare, nel rispetto del principio di accountability, sia in grado di dimostrare adeguatamente le particolari esigenze che ne richiedano l’estensione.
Diversamente, l’eventuale raccolta e conservazione dei metadati così individuati per finalità differenti dall’assicurare il funzionamento delle infrastrutture di posta elettronica, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, dovrà essere preceduta dall’esperimento delle garanzie previste dall’articolo 4, comma 1 dello Statuto dei Lavoratori.
Criticità del Documento di indirizzo: preoccupazioni e fraintendimenti
Come detto, i provvedimenti (sia quello del febbraio 2024, sia l’attuale documento datato 6 giugno 2024) hanno sollevato numerose perplessità.
Una prima obiezione ha riguardato la sicurezza informatica: le e-mail ricevute ed i metadati ad esse collegati sono spesso un indicatore cruciale per l’identificazione di potenziali attacchi informatici. La rilevazione di compromissioni infrastrutturali, come quelle causate da ransomware , può richiedere però anche diversi mesi, rendendo pertanto essenziale agli addetti alla sicurezza l’informatica l’accesso ai log di comunicazione per un periodo superiore ai 21 giorni indicati dal Garante.
Una seconda critica è stata mossa in relazione all’importanza operativa che la posta elettronica riveste in ambito lavorativo: per la maggior parte delle aziende, la posta elettronica costituisce un fondamentale database commerciale e di business; la cancellazione di dati e informazioni relativi ad un messaggio di posta potrebbe pertanto inficiare, ad esempio, sulla corretta conclusione di un affare o sulla sua lineare gestione.
Come si avrà modo di spiegare nel successo paragrafo, le criticità ora riportate derivano forse, a parare di chi scrive, da un grande fraintendimento: come anticipato, l’ambito di applicazione del documento riguarda esclusivamente i log di comunicazione elettronica e non, invece, il c.d. envelope , ossia il contenuto di una busta elettronica ed i relativi metadati.
I chiarimenti
Si è detto che l’ambito di applicazione del provvedimento del Garante è limitato ai soli metadati corrispondenti alle informazioni registrate nei log di comunicazione elettronica e non anche i metadati di un messaggio di posta elettronica.
Replicando alle critiche sopra riportate a titolo di esempio, le analisi di sicurezza informatica e le informazioni sullo scambio di e-mail sarebbero pertanto ottenibili tramite la consultazione dei messaggi di posta elettronica ed i rispettivi metadati; ad essere cancellati saranno soltanto i log relativi al recapito e la ricezione di un messaggio di posta elettronica ed eventuali ulteriori elementi integrati.
Si potrebbe obiettare, allora, che per quanto originati e conservati tramite modalità differenti, i metadati relativi ai log di comunicazione elettronica ed i metadati che formano l’envelope dell’e-mail siano corrispondenti e, pertanto, le differenze circa il corretto regime di conservazione siano ingiustificate.
Ebbene, è utile sottolineare in questa sede che il Provvedimento del Garante si concentra sulla forma dei dati, piuttosto che sui dati stessi. In breve, pur potendo cancellare un’e-mail ed i relativi metadati, questi ultimi potrebbero sopravvivere presso il fornitore del servizio di posta elettronica (interno od esterno che sia) sottoforma di log di comunicazione. Ciò implica che i metadati potrebbero ancora essere utilizzati per il controllo a distanza dei lavoratori, che è uno degli aspetti centrali del nuovo provvedimento.
È proprio questa la ragione per cui il Garante distingue i log delle comunicazioni elettroniche, che in quanto memorizzati indipendentemente dalla percezione e dalla volontà dell’utilizzatore, devono dunque seguire le nuove regole dettate dal Documento di indirizzo, dall’envelope delle e-mail ed i relativi metadati, che, per tutto quanto sopra visto (riconducibilità al controllo dell’utente; inscindibilità dal contenuto del messaggio), rimangono soggetti alle politiche di retention standard.
______
A cura di Avv. Sebastiano Liistro, Complegal