Come noto all’interno delle aziende ci sono molte attività che corrono sul filo sottile dell’equilibrio tra le esigenze strumentali, organizzative e di controllo dell’azienda, e la necessità di tutelare la riservatezza dei dipendenti. Negli ultimi anni, poi, la questione è diventata sempre più spinosa, sia per i principi introdotti dal Regolamento Generale sulla Protezione dei Dati, Regolamento (UE) 2016/679 (GDPR) sia per l’utilizzo sempre più massivo della tecnologia sui luoghi di lavoro, necessario per rendere le attività più efficienti e performanti ma, d’altro canto, prepotente fattore di rischio in tema di riservatezza. E lo scorso anno, a tal proposito, il Garante ha sollevato un nuovo dubbio o problema: la conservazione dei metadati della posta elettronica dei dipendenti.
La posta elettronica, ormai è noto, è lo strumento che forse più di qualsiasi altro, crea sempre molti problemi legati al trattamento del dato sul posto di lavoro. Ce ne siamo infatti occupati in diverse occasioni nate a seguito di sanzioni applicate dal Garante a datori di lavoro, per uso non corretto della posta dei dipendenti. Gli aspetti su cui l’Autorità ha posto più spesso l’attenzione sono le attività da porre in essere al momento della cessazione del rapporto di lavoro, come la disattivazione dell’account, la conservazione della posta elettronica in entrata e in uscita, e l’accesso alla posta del dipendente dimissionario, prima dell’eliminazione dell’account.
Ma per quanto riguarda i metadati, dopo la prima reazione di scalpore per la sanzione alla Regione Lazio, molte aziende non si erano preoccupate di approfondire il problema. Il tema torna però oggi attuale, con il recente Provvedimento del Garante Metadati (“Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”).
Indice
Cosa sono i metadati della posta elettronica?
I metadati a cui facciamo riferimento – in questo caso – sono delle informazioni relative alla posta elettronica che hanno lo scopo di migliorare la visibilità, la ricerca e l’accesso ai dati. Sono delle “stringhe descrittive” di un’e-mail, che rappresentano le caratteristiche o le proprietà della stessa, ma non il contenuto o gli allegati. Tipicamente sono: il giorno, l’ora, il mittente, il destinatario, l’oggetto e la dimensione dell’e-mail stessa.
Normalmente la finalità è soprattutto legata alla sicurezza informativa. In caso di incidente informatico, l’analisi dei metadati della posta può consentire l’individuazione di una possibile origine dello stesso.
Inquadramento normativo
Non ci sono dubbi sul fatto i metadati della posta elettronica dei dipendenti siano “dati” ai sensi del GDPR. Nello specifico, alla posta elettronica si applica quanto indicato nelle Linee guida del Garante per posta elettronica e Internet, oltre a quanto previsto dal GDPR e dall’articolo 4, comma 1 dello Statuto dei lavoratori in merito ai controlli a distanza.
Negli accertamenti effettuati, l’Autorità ha rilevato che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti. Non solo, in alcuni casi è emerso anche che i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione.
Il Garante, quindi, per coordinare l’applicazione delle norme anche alla luce delle impostazioni di molti gestori della posta elettronica, ha adottato un Provvedimento Generale per orientare i datori di lavoro nella corretta definizione di questo trattamento dati.
Cosa deve, quindi, fare il datore di lavoro?
La prima cosa da fare è verificare le caratteristiche di archiviazione dei programmi di gestione della posta elettronica, in particolare nel caso di prodotti forniti in cloud o as-a-service. All’interno di questi programmi è necessario che le impostazioni di base non consentano la raccolta dei metadati oppure ne limitino il loro periodo di conservazione ad un massimo di 7 giorni, estensibili di ulteriori 48 ore.
Infatti, il Garante ha analizzato (in precedenti provvedimenti) quale fosse il tempo di conservazione dei metadati compatibile con l’attività di raccolta e conservazione degli stessi metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica e che rispettasse il principio di accountability e il comma 2 dell’art. 4 dello Statuto dei Lavoratori. La conclusione del Garante è stata – appunto – in poche ore o ad alcuni giorni, in ogni caso non oltre sette giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore.
I datori di lavoro che per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare (in particolare, per la sicurezza dei sistemi) avessero necessità di trattare i metadati per un periodo di tempo più esteso, dovranno espletare le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro). L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore.
Commento
Il tema dei tempi di conservazione di un dato è sempre molto spinoso da affrontare all’interno delle Aziende. Ma nel caso dei tempi di conservazione dei metadati della posta elettronica la questione si complica ulteriormente. Nelle realtà piccole, ma anche medie, ci si affida a grandi piattaforme di posta (Google o Microsoft) e non sempre le impostazioni dei metadati vengono verificate. Ci si affida alle impostazioni predefinite del fornitore. Non perché si vuole utilizzare il dato al di fuori dei meri controlli di sicurezza, ma semplicemente perché sono impostazioni che si prendono di default dai fornitori stessi e non sempre l’azienda ha gli strumenti per affrontare il problema o – come evidenziato dal Garante – lo stesso fornitore non dà la possibilità di scelta.
L’unica soluzione ragionevole, quindi, sarebbe che le stesse aziende fornitrici dei sistemi di posta introducessero “by design” il limite massimo di 7 giorni suggeriti dal Garante stesso, dando ovviamente al Datore di lavoro la possibilità di aumentarli solo in presenza delle condizioni legali richieste.
Altri nostri clienti, infatti, già dal provvedimento del Garante contro la Regione Lazio, hanno deciso di procedere alla sottoscrizione di un Accordo Sindacale per la conservazione dei Metadati per un tempo superiore. La finalità, ovviamente, resta la sicurezza informatica e i necessari accertamenti da fare a seguito di data breach o comunque incidente sulla sicurezza informatica. La scelta è stata fatta alla luce del fatto che quei dati erano serviti in passato per rilevare vulnerabilità, sforando i 7 giorni.
Il Garante, è bene ribadirlo, non vieta una conservazione maggiore, ma richiede l’applicazione delle tutele richieste dal GDPR e dallo Statuto dei Lavoratori.