Il Garante per la protezione dei dati personali (“Garante” o “Autorità”) ha pubblicato venerdì 14 giugno 2024 il “Provvedimento del 6 giugno 2024 - Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”; il documento era atteso da tempo, anche in considerazione delle numerose richieste di chiarimenti pervenute.
Le modifiche e integrazioni apportate tengono, quindi, conto dell’esito della consultazione pubblica avviata dalla stessa Autorità, nel termine previsto per la modifica del precedente provvedimento di indirizzo (cfr. provvedimento del 21 dicembre 2023, n. 642, doc. web n. 9978728) a sua volta sospeso il 2 febbraio 2024 (cfr. provvedimento n. 127, doc. web n. 9987885).
OGGETTO DEL DOCUMENTO
Sgombriamo il campo subito dai molti dubbi che hanno caratterizzato questa iniziativa del Garante: di quali informazioni si tratta nel documento di indirizzo quando si parla di metadati?
Come a noi era parso già chiaro fin da subito (e anticipato anche qui), con metadati non si vuole intendere le informazioni contenute nei messaggi di posta elettronica nella loro “body-part”, non ci si occupa, quindi, dei metadati inscindibili e contenuti nei messaggi di posta elettronica, che rimangono nella disponibilità dell’utente/lavoratore, all’interno della casella di posta elettronica attribuitagli. Non si intende, pertanto, limitare la conservazione del cosiddetto envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici, ancorché non visibili all’utente.
L’Autorità si dedica unicamente ai metadati “che presentano la caratteristica di essere registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utilizzatore” e definiti come “informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi [che] possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto”.
Che di tali informazioni si stesse trattando sin dalla prima versione del dicembre 2023, era desumibile, oltre che dalla lettera del documento e dall’evidente impossibilità di utilizzare i sistemi di posta senza poter conservare l’envelope, anche dalle indicazioni che il Garante ha fornito in quei provvedimenti in cui si è occupato della data retention delle email. In tali occasioni, pur non avendo mai specificato termini di conservazione in modo preciso e diretto, ha fornito comunque indicazioni sulla correttezza della tempistiche di conservazione delle email, facendo intendere dei periodi superiori non solo ai 7-9 giorni della prima versione, ma anche dei 21 giorni nell’attuale versione emendata (cfr. ordinanza di ingiunzione n. 214 del 29 ottobre 2020 e, tra gli altri, il provvedimento n. 115 del 2 luglio 2020; provvedimento n. 216 del 4 dicembre 2019; provvedimento n. 53 del 1° febbraio 2018; provvedimento n. 136 del 5 marzo 2015).
MOTIVO DEL DOCUMENTO
Il Garante ha accertato, in occasione di diverse istruttorie, che i metadati possono essere organizzati dal provider di posta in forma di archivio separato (inteso ai sensi dell’art. 4.6 del GDPR, e, cioè, un “qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico”) e potenzialmente intelligibile a mezzo software, restituendo al titolare, anche se non è immediatamente consapevole, la possibilità di “acquisire informazioni riferite alla sfera personale o alle opinioni dell’interessato” per esempio “dagli aspetti quali-quantitativi anche in ordine ai destinatari e alla frequenza di contatto (in quanto anche questi dati sono, a propria volta, suscettibili di aggregazione, elaborazione e di controllo)”.
L’Autorità ha, quindi, rilevato un rischio: programmi e servizi informatici per la gestione della posta elettronica, soprattutto quando commercializzati in modalità cloud, possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti, conservando gli stessi per un esteso arco temporale.
Il rischio esiste, secondo il Garante, perché i titolari del trattamento/datori di lavoro non sono consapevoli di tale raccolta né della relativa tempistica, precisando che tale circostanza potrebbe comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiedendo, quindi, l’esperimento delle garanzie previste dall’art. 4, comma 1, della Legge n. 300/1970 (“Statuto dei Lavoratori”).
L’Autorità è chiara sul punto quando si legge tale parte: “(…) in caso di raccolta e memorizzazione dei log della posta elettronica, stante la particolare “vulnerabilità” degli interessati nel contesto lavorativo, nonché il rischio di “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti” (Gruppo di lavoro art. 29, “Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento”, WP 248 del 4 aprile 2017; cfr. cons. 75 e artt. 35 e 88, par. 2, del Regolamento; v. anche provv. 11 ottobre 2018, n. 467, doc. web n. 9058979, all. n. 1; v., tra gli altri, provv. 13 maggio 2021, n. 190, doc. web n. 9669974, par. 3.5).
Si segnala come non si tratti di un rischio remoto; ricordiamo infatti che il Garante ha già accertato nella nota ordinanza di ingiunzione nei confronti di Regione Lazio - 1° dicembre 2022, doc. web n. 9833530, l’utilizzo illegittimo da parte di datori di lavoro/titolari del trattamento dei metadati, così come ora meglio definitivi, per finalità disciplinari, in assenza di tutela per il lavoratore/interessato.
TEMPI DI RETENTION DEI METADATI
L’Autorità ha esteso dagli originari 7-9 giorni a 21 giorni il periodo orientativo di data retention dei metadati, anche se non sono noti gli elementi che hanno portato il Garante a decidere per tale durata e, quindi, se si sia stato determinato grazie ai contributi portati dagli stakeholders proprio all’esito della consultazione pubblica o da elementi tecnici acquisiti durante gli approfondimenti svolti.
Rispetto alla versione ante consultazione pubblica, il Garante riconosce ora che si tratta di un termine “orientativo” (“…all’ esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione, si ritiene che possa essere effettuata, di norma, per un periodo limitato a pochi giorni; a titolo orientativo, tale conservazione non dovrebbe comunque superare i 21 giorni”) e che sarebbe possibile estenderlo senza la necessità di espletare le garanzie (accordo sindacale o autorizzazione INL) di cui al comma 1 dell’art. 4 dello Statuto dei Lavoratori, qualora la conservazione avvenga: (i) “sempre nell’ambito della predetta finalità (assicurare il funzionamento delle infrastrutture del sistema della posta elettronica), a cui risulta applicabile il comma 2 dell’art. 4 della L. n. 300/1970” e (ii) “solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente, in applicazione del principio di accountability previsto dall’art. 5, par. 2, del Regolamento, le specificità della realtà tecnica e organizzativa del titolare”.
Diversamente, il titolare del trattamento/datore di lavoro sarà invece tenuto ad espletare le richiamate procedure di garanzia previste dalla disciplina di settore (art. 4, co.1, L. 300/1970).
OBBLIGATORIETA’ DEL DOCUMENTO
Si legge che dal documento “non discendono nuovi adempimenti o responsabilità”, ma “l’Autorità intende solo fornire ai datori di lavoro indicazioni in ordine alla possibilità di trattare tali informazioni per consentire il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica, comprese le essenziali garanzie di sicurezza informatica, senza necessità di attivare la procedura di garanzia prevista dall’art. 4, comma 1, l. 20/5/1970, n. 300, espressamente richiamata dall’art. 114 del Codice Privacy”.
Nello specifico, si tratta di un documento di indirizzo predisposto dal Garante sulla base dei poteri riconosciutigli ex art. 57, par. 1. lett. b) e d) del GDPR e art. 154-bis, comma 1, lett. a) del Codice Privacy. In virtù degli stessi, l’Autorità ha rispettivamente il compito di: 1) promuovere la consapevolezza e la comprensione del pubblico, dei titolari e dei responsabili riguardo a norme, obblighi, rischi, garanzie e diritti stabiliti dal Regolamento; 2) adottare linee guida di indirizzo riguardanti le misure organizzative e tecniche di attuazione dei principi del GDPR, anche per singoli settori e in applicazione dei principi di cui all’art. 25 GDPR.
Sotto questo secondo profilo, occorrerà dunque capire se le indicazioni fornite dall’Autorità avranno realmente una natura “orientativa” oppure se il mancato rispetto delle stesse e, dunque, una conservazione dei metadati maggiore di 21 giorni possa comportare – se non adeguatamente giustificata –eventuali rischi di violazione dello Statuto dei Lavoratori o dell’art. 25 del GDPR, proprio per il tramite dell’art. 154-bis del Codice Privacy.
In tal senso, vista anche l’assenza all’interno del documento di indirizzo di ogni indicazione rispetto alle valutazioni che hanno portato il Garante a determinare i 21 giorni come corretto termine di conservazione, la valutazione in accountability, che giustifichi una retention temporale maggiore, sarà sicuramente di difficile esecuzione per i titolari che sono comunque soggetti a sempre maggiori obblighi nel campo della sicurezza informatica.
Si pensi, ad esempio, alle previsioni del Regolamento (UE) 2022/2554, cd. DORA, della Direttiva (UE) 2022/2555, c.d. NIS 2, o ancora, delle norme italiane in materia e di prossima approvazione, su tutte il disegno di legge n. 1717 recante “disposizioni in materia di rafforzamento della cybersicurezza nazionale e reati informatici”, di cui molti datori di lavoro/titolari del trattamento dovranno tenere conto e che impongono misure, tra cui la conservazione dei log, finalizzate a prevenire e reagire agli attacchi informatici.
COSA FARE CON I PROVIDER
Il documento precisa che spetta al titolare del trattamento “accertare che siano disattivate le funzioni che non sono compatibili con le proprie finalità del trattamento” e verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti “consentano al cliente (datore di lavoro) di rispettare la disciplina dei dati nei termini indicati nel presente documento di indirizzo, anche con riguardo al periodo di conservazione dei metadati”.
Secondo l’Autorità bisogna commisurare adeguatamente i tempi di conservazione ovvero chiedere al fornitore del servizio di “anonimizzare i metadati raccolti nei casi in cui non si intenda effettuare una conservazione più prolungata degli stessi”.
Indirizzo che, a nostro avviso, non sarà agevole considerato che nella prassi è stato individuato un periodo di data retention medio di 6 mesi da parte dei provider di posta, per finalità di cybersecurity.
Si auspica, pertanto, che i provider di posta modifichino autonomamente tali periodi di conservazione nel prossimo futuro, proprio grazie al documento di indirizzo in esame o, addirittura, creino dei meccanismi privacy by design grazie ai quali tali dati non possano, in alcun modo, essere trattati dai datori di lavoro/titolari del trattamento.
I titolari del trattamento dovranno, quindi, dimostrare di aver impartito tale istruzione al responsabile del trattamento. Resta fermo che se il provider di posta continuasse a conservare i metadati autonomamente per periodi superiori, ad esempio invocando la necessità di garantire la sicurezza dell’intero sistema informatico immesso sul mercato potrebbe, astrattamente, essere considerato quale autonomo titolare del trattamento in esame, ex art. 28 GDPR, comma 10.
In ogni caso, la violazione delle istruzioni del titolare da parte del responsabile non esimerebbe comunque il primo dal rischio di non essersi adeguato ai principi e ai richiami normativi inseriti nel documento di indirizzo del Garante.
COSA FARE IN ATTESA DI UNA SOLUZIONE CHE VENGA DAL PROVIDER
Alla luce di queste importanti novità, riteniamo che i datori di lavoro pubblici e privati dovranno ora:
- valutare con la propria funzione IT la congruità del nuovo limite di conservazione fissato orientativamente in 21 giorni ovvero individuare le particolari condizioni che ne rendano necessaria l’estensione, purché si tratti sempre di assicurare il funzionamento delle infrastrutture del sistema di posta elettronica, da comprovare adeguatamente, anche all’interno della preventiva valutazione di impatto sulla protezione dei dati personali (“DPIA”), necessaria in virtù della particolare “vulnerabilità” degli interessati nel contesto lavorativo, nonché il rischio di “monitoraggio sistematico”;
- verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service – consentano al cliente (datore di lavoro) di modificare le impostazioni di base, limitando il periodo di conservazione degli stessi entro un termine di 21 giorni ovvero quello più ampio stabilito dal titolare in base alla realtà tecnica e organizzativa dello stesso. Diversamente si dovrebbe istruire formalmente il provider di posta sul periodo di conservazione da rispettare, ex art. 28 GDPR o, in estrema ratio, cambiare il provider (si tratta, in entrambi i casi, di misure di non facile realizzazione);
- provvedere, nel caso in cui i trattamenti dei dati personali in questione si dovessero rendere necessari per un periodo superiore a 21 giorni per diverse finalità connesse al perseguimento di esigenze organizzative, produttive o di sicurezza, ad espletare le procedure di garanzia previste dalla disciplina di settore (art. 4, co.1, L. 300/1970);
- fornire/integrare agli interessati l’informativa sul trattamento dei dati personali e la policy sugli strumenti aziendali su questo punto (“Ciò anche tenuto conto del fatto che l’adempimento degli obblighi informativi nei confronti dei dipendenti (consistenti nella “adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli”) costituisce anche una specifica precondizione per il lecito utilizzo dei dati raccolti attraverso strumenti tecnologici, da parte del datore di lavoro, anche a tutti i fini connessi al rapporto di lavoro (art. 4, co. 3, della l. n. 300/1970”).
a cura di Raffaele Romano e Edoardo Lombardo del Team Data Protection & Privacy di WST Law & Tax Firm