La “discordia” sulla gestione dei metadati sui luoghi di lavoro ha avuto recenti nuovi sviluppi.
Il 6 giugno scorso, il Garante Privacy ha pubblicato le nuove indicazioni sulla gestione dei Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati. Per i pochi che non lo sanno, il provvedimento è l’ultimo capito di una serie di eventi che hanno inizio nel mese di dicembre 2023 quando il Garante ha pubblicato un provvedimento nel quale – tra le altre – fissava in 7 giorni il tempo di conservazione dei metadati della posta elettronica senza accordo sindacale o chiedere l’autorizzazione dell’ITL.
[Sul provvedimento di dicembre si veda Conservazione dei metadati della posta elettronica dei dipendenti: il parere del Garante]
Il Provvedimento di dicembre non era piaciuto né alle aziende né alle associazioni di categoria, tanto che il Garante ha deciso di aprire una consultazione pubblica per capire quale fosse il tempo di conservazione più consono da applicare
[Si veda: Metadati: il Garante rinvia l’applicazione del provvedimento e apre una consultazione]
La consultazione si è chiusa e nel Provvedimento del 6 giugno il Garante aggiorna la sua posizione in merito alla gestione dei metadati della posta elettronica dei dipendenti all’interno dei luoghi di lavoro. La “nuova” posizione però probabilmente non è la soluzione che le Aziende si aspettavamo: di fatto i problemi restano sostanzialmente irrisolti, indicando come unica soluzione plausibile la corretta applicazione dei principi del GDPR in primis del principio di Accountability.
Ma vediamo in dettaglio i punti salienti e ipotizziamo qualche soluzione operativa.
Indice
Chiarimenti sul concetto di metadati e su cosa può tranquillamente essere conservato
Un elemento fondamentale chiarito dal Garante è l’oggetto di attenzione. Non era chiaro, infatti, nel documento dicembre a cosa il Garante si riferiva con il termine “Metadati delle e-mail”. Indubbiamente il perimetro di applicazione andava definito.
In questo senso ora è chiaro che per il Garante i “metadati o log di posta elettronica” si riferisce unicamente “le informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client (le postazioni terminali che effettuano l’invio dei messaggi e che consentono la consultazione della corrispondenza in entrata accedendo ai mailbox elettroniche, definite negli standard tecnici quali MUA – Mail User Agent)”.
Non rientrano nel concetto di metadati del provvedimento:
“le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate – ancorché talvolta non immediatamente visibili agli utenti dei software “client” di posta elettronica (i cosiddetti MUA – Mail User Agent) – a formare il cosiddetto envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici. Le informazioni contenute nell’envelope, ancorché corrispondenti a metadati registrati automaticamente nei log dei servizi di posta, sono inscindibili dal messaggio di cui fanno parte integrante e che rimane sotto l’esclusivo controllo dell’utente (sia esso il mittente o il destinatario dei messaggi).”
Quindi a cosa si applica il Provvedimento
Pertanto, le indicazioni contenute nel documento relativamente ai tempi di conservazione dei metadati come sopra definiti NON riguardano i contenuti dei messaggi di posta elettronica (né le informazioni tecniche che ne fanno comunque parte integrante) che rimangono nella disponibilità dell’utente/lavoratore, all’interno della casella di posta elettronica attribuitagli.
Quindi, non viene messo in discussione dal Garante il diritto del titolare/datore di lavoro di conservare le e-mail dei lavoratori, ivi compresi i metadati associati relativi all’envelope dei messaggi, in assenza dei quali ci saremmo ritrovati tutti con degli archivi statici e ingestibili.
Parliamo quindi delle informazioni relative alle operazioni di invio, ricezione e smistamento dei messaggi di posta elettronica che vengono registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione o dalla volontà dell’utilizzatore. Ciò significa che tali informazioni vengono raccolte e conservate in modo sistematico, senza che l’utente ne sia necessariamente consapevole o possa controllarle.
Il principio di accountability per i datori di lavoro
Chiarito l’ambito oggettivo del provvedimento, precisiamo che lo stesso non contiene prescrizioni ha una esclusiva finalità che potremmo definire di mero ‘stimolo divulgativo’.
Anche il tempo di conservazione dei metadati (7 giorni nel documento di dicembre ora 21 giorni).
La verità, indiscutibile, è che esisteva ed esiste il principio di accountability. Chi è chiamato a definire i tempi di conservazione dei metadati era e resta il titolare del trattamento, non avendo “prescritto” nulla di diverso il Garante.
Pertanto, rispetto ai tempi di conservazione lo stesso Garante ribadisce che se essi siano 1, 7, 21 o 60 i giorni di conservazione, è il titolare del trattamento a doverlo ed a poterlo definire.
Naturalmente sarà lo stesso Titolare che oltre a dover valutare le proprie necessità di conservazione dei metadati deve adottare gli adempimenti idonei a garantire il rispetto della normativa.
I tempi di conservazione dei metadati.
Quindi, il Garante individua a titolo orientativo come congrua una conservazione dei metadati fino a 21 giorni (punto 3 del documento del 6 giugno).
Se il Titolare del trattamento ritiene di dover conservare i metadati per un tempo superiore a tale soglia, dal punto di vista normativo sarà possibile legittimare la conservazione tramite il percorso dell’art. 4 comma 1 L. 300/70 (accordo sindacale o autorizzazione dell’ispettorato).
Rispetto all’articolo 4 il Garante allarga il concetto di “strumento di lavoro”, dando per assunto che la via dell’accordo sindacale o dell’autorizzazione dell’Ispettorato possa essere una soluzione semplice anche da qualsiasi microazienda. Non si condivide questo approccio perché si tratta di un adempimento tutt’altro che automatico e che richiede risorse da parte delle Aziende.
I fornitori
I veri destinatari di questo percorso del Garante restano i fornitori dei servizi di posta, i quali di fatto sono spesso poco adattabili a richieste o prescrizioni dei Titolari del trattamento.
Tuttavia sul loro ruolo in particolare, il Garante fa sottintendere che i provider di posta non sempre possono essere considerati alla stregua di “semplici” responsabili del trattamento dei dati personali, prefigurando per tali soggetti del mercato precise responsabilità in termini proprio di “privacy by design”.
Il Garante, infatti, precisa che “i fornitori (ndr. dei servizi e delle applicazioni di posta elettronica), pertanto, devono contribuire a far sì che i titolari del trattamento possano adempiere ai loro obblighi di protezione dei dati, contemperando le esigenze di commercializzazione su larga scala dei propri prodotti con la conformità degli stessi ai principi del Regolamento, anche nella prospettiva di migliorare il prodotto offerto, sotto il profilo della sua maggiore conformità al Regolamento”.
Ma, ahimè, resta l’obbligo – in ultima analisi – del titolare di verificare la conformità alla normativa dei programmi rispetto al provvedimento sulla conservazione dei metadati.
Qualche perplessità e dubbio sulla forza contrattuale verso i fornitori però resta. Forse per i grandi gruppi imprenditoriali la possibilità di avviare un dialogo di compliance può essere ipotizzabile, ma è difficile immaginare come una piccola azienda possa imporre alcunché al provider che gli fornisce il servizio di posta elettronica.
Cosa devono fare le aziende?
Come sempre cerchiamo di essere pratici e cerchiamo di dare qualche strumento operativo alle aziende. Ecco, quindi, una sorta di check list sulle attività da fare.
- Analizzate lo stato dell’arte.
Il Garante ha chiarito cosa si intende per metadati, quindi verificate internamente quanto tempo essi vengono conservati, come, dove e con quali misure di sicurezza. Analizzate anche le necessità di conservazione che avete, rispetto all’utilizzo di tali metadati, capire le esigenze (es. necessità di assicurare il funzionamento delle infrastrutture e sistema della posta) e i tempi.
- Accordi Sindacale o Ispettorato del lavoro
Qualora si rendesse necessario in ragione dei tempi e delle necessità la procedura di accordo sindacale o Ispettorato del lavoro rende lecita in assoluto la conservazione del metadato. Ma la valutazione andrà fatta caso per caso, valutando anche la possibilità di rientrare nell’articolo 4 comma 2 dello Statuto dei lavoratori. E’ difficile sulla base di questo provvedimento stimare con esattezza cosa si deve fare, sarà necessario entrare nel merito delle scelte dei singoli Titolari del trattamento e decidere a seconda del contesto.
Personalmente su questo tema, auspico un intervento chiarificatore anche dall’Ispettorato Nazionale del Lavoro, come organo competente sul tema e a completamento della posizione del Garante.
- Principio di trasparenza
Non basta l’accordo sindacale o l’Autorizzazione dell’ITL il dipendente “deve sapere”. Va quindi fatta un’informativa dedicata oppure aggiornata l’Informativa Privacy dipendenti inserendo questo trattamento di dati.