Trattamento dei metadati della posta elettronica aziendale di dipendenti pubblici e privati

MICHELE Gorga 08/04/24

Analisi del provvedimento del Garante del 21/12/2023 in materia di trattamento dei metadati della posta elettronica aziendale di dipendenti pubblici e privati.

Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni: I ricorsi al Garante della privacy

Indice

1. Il contesto del provvedimento: il trattamento dei metadati nella posta elettronica aziendale

È da premettere che il provvedimento del Garante n. 642 del 21 dicembre 2023 ha avuto origine da un’attività ispettiva che ha evidenziato che i programmi e i servizi informatici di gestione della posta elettronica, offerti dai fornitori in modalità cloud, raccolgono, per impostazione predefinita, i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti.
Ha rilevato il Garante che i metadati relativi alla raccolta di informazioni quali: giorno, ora, mittente, destinatario, oggetto e dimensione delle e-mail, sono conservati per un ampio periodo e che i fornitori di questi servizi hanno limitato la possibilità per il cliente (datore di lavoro) di modificare le impostazioni di base dei relativi SW e di poter disabilitare la raccolta sistematica di tali dati, ovvero di poter ridurre il periodo di conservazione. 
Da qui l’emissione del provvedimento che è rivolto a:
1- Promuovere la protezione dei dati nel contesto lavorativo e la consapevolezza nella protezione dei dati nel medesimo contesto e spingere (obbligare) le Pubbliche Amministrazioni ad adottare misure a tutela della privacy dei propri dipendenti.  
2-Fissare la responsabilità del datore di lavoro di tipo amministrativo, penale e civile laddove violi il divieto di controlli a distanza sul luogo di lavoro, come di fatto i servizi cloud rendono possibile. Il provvedimento, quindi, richiama i datori di lavoro ad adottare misure precauzionali adeguate alla conservazione dei metadati personali dei dipendenti, insiti nei servizi informatici e nella posta elettronica posto che i dipendenti hanno diritto a una sfera di riservatezza per quanto riguarda la loro corrispondenza elettronica.   
3- Vietare i controlli a distanza sul luogo di lavoro divieto che trova fondamento nell’articolo 4 della legge 20 maggio 1970, n. 300, come modificato dal decreto legislativo 14 settembre 2015, n. 151 che al co. 1 dell’art.4, individua le finalità che legittimano il controllo a distanza, finalità che, com’è noto, includono gli aspetti organizzativi, produttivi, di sicurezza sul lavoro e di tutela del patrimonio aziendale subordinandone, però, l’utilizzo a precise garanzie procedurali, come il previo accordo sindacale con la RSU Aziendale e, in sua assenza, l’autorizzazione rilasciata dalla Commissione provinciale del lavoro (si pensi ad esempio alla videosorveglianza interna di sicurezza). 
Garanzie procedurali, quest’ultime, che non si applicano agli strumenti di registrazione degli accessi e delle presenze e neanche agli strumenti utilizzati direttamente dal lavoratore nello svolgimento della prestazione lavorativa, (appunto come la posta elettronica) che hanno la loro tutela di default nell’articolo 4, co. 2, della L. n. 300/1970, il quale ha introdotto un’eccezione al regime restrittivo di cui al co. 1, dello stesso articolo, che consente perciò l’utilizzo di tali strumenti senza dover rispettare le più restrittive garanzie procedurali.  
Per il Garante Privacy perciò la raccolta e la conservazione dei metadati, necessari per il funzionamento delle infrastrutture del sistema della posta elettronica, non può avere un periodo di conservazione in ogni caso oltre sette giorni e, in presenza di particolari esigenze, di sole ulteriori 48 ore. 
4-Ribadire la responsabilità dei Datori di Lavoro per l’illecito trattamento dei dati personali derivanti dall’utilizzo dei dati raccolti in maniera illecita in quanto, sulla base della previsione dell’art. 4, co. 3, della legge n. 300/1970, le informazioni raccolte per le finalità connesse alla gestione del rapporto di lavoro devono essere lecitamente acquisite.
Sotto il profilo pratico l’analisi dei dati esteriori della corrispondenza, come mittente, destinatario, oggetto e altri dettagli temporali e quantitativi, può essere rivelatrice di informazioni di natura sensibile sulla sfera personale o sulle opinioni dei lavoratori.  
Inoltre sono tenuti a verificare che i programmi e i servizi informatici utilizzati dai dipendenti, specialmente quelli basati su cloud  o forniti come servizio, consentano di modificare le impostazioni per limitare la raccolta e la conservazione dei metadati relativi alla posta elettronica  e se non ottemperano a tale obbligo ne sono responsabili.  
5- Al rispetto dei tempi di conservazione dei metadati relativi alla posta elettronica da parte dei datori di lavoro, a tal fine è essenziale il principio di limitazione della conservazione dei dati, sancito dall’articolo 5, paragrafo 1, lettera e) del GDPR che stabilisce che i dati devono essere conservati solo per il tempo strettamente necessario per raggiungere gli obiettivi prefissati, evitando così l’eccessiva retention dei dati personali e che perciò i datori di lavoro sono soggetti alla responsabilizzazione nella gestione dei dati dei propri dipendenti e a conservare i metadati solo per il tempo strettamente necessario.
6- Riaffermare il ruolo chiave del datore di lavoro nella protezione dei dati  fin dalla progettazione del trattamento e per impostazione predefinita, obbligo fondamentale per i datori di lavoro, come sancito dall’articolo 25 del Regolamento Generale sulla Protezione dei Dati (GDPR) e che il rispetto di tale principio, insieme a quello della  responsabilizzazione del titolare, ricade solo su di loro.
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni:

FORMATO CARTACEO

I ricorsi al Garante della privacy

Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.

Michele Iaselli | Maggioli Editore 2022

2. Conclusioni del provvedimento

Il Provvedimento del 21 Dicembre 2023 desta non poche perplessità. Pur presentando elementi positivi, quali l’accento sulla consapevolezza e il controllo più rigoroso sui trattamenti di dati, evidenzia alcune limitazioni che generano problemi significativi nell’attuazione pratica.  Procedendo nell’ordine: 
La prima delle criticità riguarda la stessa natura dei metadati ai quali il Garante con il provvedimento in esame pare voglia fare riferimento. È lecito chiedersi se intende solo i dati della posta elettronica o anche altri come, ad esempio, quelli relativi alla videosorveglianza. 
La seconda criticità è rilevabile nella mancanza di chiarezza
in relazione ai destinatari delle tutele, in quanto non è facilmente intuibile se il provvedimento si riferisce ai soli dipendenti dell’Amministrazione Pubblica e delle aziende private contrattualizzati o anche a quelli non contrattualizzati (es. prestatori onorari, occasionali, stagisti, studenti, volontari, liberi professionisti, ecc.)  
La terza criticità è l’approccio rigido, a prescindere dalle specifiche esigenze delle diverse realtà delle Amministrazioni Pubbliche, data l’imposizione a livello generale di limiti temporali per il trattamento dei dati, senza possibilità di valutazione da parte del titolare, che viene così esautorato rispetto alla propria 
organizzazione, essendosi il Garante sostituito al Legislatore nel determinare i limiti di conservazione e di attività e perciò incidendo direttamente sulla capacità del datore di lavoro di poter rispondere in maniera adeguata alle sfide emergenti dalla sopravvenienza torrenziale del digitale.
La quarta criticità del provvedimento risiede nella mancanza di chiarezza nell’affrontare le questioni centrali, laddove distraendo l’attenzione nell’uso del riferimento fatto  allo Statuto dei Lavoratori, che diventa  una  leva nei confronti dei titolari, di fatto devia dall’affrontare il problema fondamentale, ossia i potenziali trattamenti illeciti dei dati che hanno causa negli applicativi e SW dei fornitori dei servizi e beni ITC, dove, a volte, traspare la sottotraccia della  deresponsabilizzazione dei fornitori che va, talvolta, anche oltre i limiti imposti dai vincoli contrattuali. 
La quinta criticità risiede nell’interrogativo che il Provvedimento pone sul documento generale del 27 Novembre 2008, che fissava in sei mesi la data retention dei log degli accessi degli amministratori di sistema. L’interrogativo si esplicita nel quesito se le nuove disposizioni – genericamente definito come documento di indirizzo – sostituiscano o integrino le indicazioni precedenti e se siano necessarie alla luce dei cambiamenti normativi e tecnologici intervenuti nel frattempo. 
La sesta criticità è riassumibile nella consapevolezza  che i metadati di posta elettronica  non sono sempre accessibili al titolare per scopi di controllo della prestazione dei lavoratori, ma sono trattati dagli amministratori di sistema per garantire la sicurezza e la gestione degli incidenti informatici e, quindi,  la data retention dei metadati dovrebbe  essere definita (e deve essere definita) tenendo conto di queste essenziali  finalità e delle normative  sulla privacy, assicurando che le misure di sicurezza siano adeguate e proporzionate al rischio, anche nella prospettiva della normativa di cybersecurity. 

3. Il merito del provvedimento in esame

Passando al merito del provvedimento in esame è da osservare che il titolare (Datore di lavoro) dovrà necessariamente affidarsi a due soggetti principali:
a) – un coscienzioso e formato responsabile del trattamento; 
b) – un esperto Giurista come DPO al quale affidare, tra gli altri compiti, anche quello dell’analisi dei contratti di fornitura dei servizi SW, ITC e Cloud, in quanto è evidente che l’animus che ispira il provvedimento risiede nella consapevolezza che vi è superficialità e sottovalutazione nella lettura dei contratti di fornitura dei servizi che sono imposti unilateralmente dai fornitori, senza una reale perizia e senza un adeguato controllo sulle impostazioni effettivamente implementate e perciò che si è in presenza di un vero e proprio far west digitale.  
Sul punto specifico occorre evidenziare che il fornitore di questi servizi non agisce mai come titolare autonomo, ma come soggetto incaricato con sola responsabilità condivisa di gestione dei dati.
Il fornitore, inoltre, non sempre consiglia in modo corretto il titolare per i singoli account adeguandoli alle specifiche esigenze aziendali, ma suggerisce (impone) impostazioni di default, che spesso si rivelano inidonee, da qui l’esigenza di emanare un provvedimento volto a mitigare le criticità con un’azione mirata sulla gestione e sulla conservazione adeguata dei metadati. 
Il provvedimento però trascura la necessità di verifiche in concreto, della configurazione degli applicativi e-mail per identificare impostazioni di raccolta e tempistiche di conservazione dei metadati esistenti (ossia un report: di quali dati vengono raccolti; per quanto tempo vengono conservati; eventuali aggiustamenti necessari; verifica delle riconfigurazioni e loro effetti sull’operatività degli strumenti anche dal lato utente), elementi che il provvedimento ignora del tutto. 
Il provvedimento sembra, inoltre, ignorare la necessità di  regolamentazione internamente all’amministrazione del tempo di conservazione dei metadati, secondo periodi maggiori di quelli fissati in 7 giorni , estensibili ad ulteriori 48 ore, che è termine sicuramente  inconciliabile con le finalità di sicurezza  la cui policy spetta – per legge –  al titolare, anche in ragione del fatto che già oggi, allo stato dell’arte,  per i  gestori della posta elettronica la data retention di norma nei sistemi IT è fissata da 90 a 120 giorni. Termine quest’ultimo che già adesso rende problematica l’attività di controllo di sicurezza che, normalmente, non viene in evidenza in una settimana. Parimenti dicasi per la DPIA, impossibile nei 7 giorni, considerato che nello stesso contesto di gestione, ad esempio, la normativa UE fissa in 6 mesi la conservazione dei file di Log.   

4. Una soluzione possibile

Una delle soluzioni, invece possibili, potrebbe essere quella di valutare di procedere a una DPIA preventiva, sulla base di un accordo con le organizzazioni sindacali aziendali (RSU), per una valutazione condivisa sulla conservazione sicura dei metadati.
Coinvolgere i sindacati e i lavoratori interessati, in costanza del rigido provvedimento del Garante Privacy, per approdare ad una Policy condivisa appare l’unico strumento opportuno e necessario per garantire un approccio equilibrato volto a tenere coese sia le esigenze dell’Amministrazione che quelle dei lavoratori dipendenti. 
In tale contesto è utile suggerire alle Amministrazioni l’adozione di un provvedimento di ordine generale che non preveda la cancellazione dei metadati, in ragione della loro importanza, per la gestione e la sicurezza delle infrastrutture IT,  provvedimento non solo opportuno ma necessario, in quanto distruggere, nel termine di 7 giorni, i metadati raccolti dai sistemi di IT-Security,  è di per se  un compito complesso che richiede un’attenta pianificazione e l’utilizzo di strumenti appropriati per garantire la conformità alle normative sulla privacy.  
Un intervento, infatti, così invasivo in sistemi complessi non è riducibile alla mera somma dei singoli sistemi, in ragione del fatto che le norme che ne regolano la totalità non possano mai essere riducibili alla semplice composizione delle leggi che regolano le parti costituenti dello strumento della singola protezione.  

MICHELE Gorga

Scrivi un commento

Accedi per poter inserire un commento