Metadati, gli aggiornamenti del Garante

Di norma, i metadati relativi agli account di posta elettronica dei dipendenti/collaboratori devono essere conservati per un periodo limitato di pochi giorni sino ad un massimo di ventuno.

Questa è l’indicazione del Garante che, all’esito della consultazione pubblica avviata in relazione al documento di indirizzo del dicembre 2023, relativo alla congruità del termine di conservazione dei metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica, ha così statuito.

Archiviare dati per un periodo superiore di tempo, senza l’implementazione di misure di sicurezza e cautele determinate, comporterebbe una violazione della normativa di settore nonché giuslavoristica, in punto di monitoraggio dei dipendenti.

Vediamo, quindi, quali sono le indicazioni del Garante per assicurare il rispetto dei principi della protezione dei dati.

Le indicazioni del Garante

Con provvedimento del 21 dicembre 2023, il Garante per la Protezione dei Dati Personali emanava un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, di cui avevamo già ampiamente discusso, allo scopo di attenzionare la disciplina relativa alla protezione dei dati e le norme che stabiliscono le condizioni di legittimità per l’utilizzo di strumenti tecnologici nei luoghi di lavoro. Considerate, tuttavia, le numerose richieste di chiarimento pervenute, sospendeva l’efficacia del predetto documento e avviava una consultazione pubblica, conclusasi solo pochi giorni fa.

Ebbene, alla luce di ciò, con provvedimento del 6 giugno 2024, il Garante è tornato sull’argomento per adottare una versione aggiornata del documento, tesa a fornire indicazioni in merito ai criteri che devono orientare le scelte dei datori di lavoro nell’individuazione dei periodi di conservazione dei metadati, nonché nell’applicazione delle cautele finalizzate ad assicurare un corretto funzionamento ed un regolare utilizzo dei sistemi di posta elettronica aziendali.

Cosa sono i metadati?

Preliminarmente, il Garante fornisce un chiarimento in merito all’ambito oggettivo di applicazione del documento, individuando una definizione specifica di cosa siano i metadati e individuandoli in quei dati che “corrispondono tecnicamente alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazione nell’interazione che avviene tra i diversi server interagenti e, se del caso tra questi e i client (le postazioni terminali che effettuano l’invio dei messaggi e che consentono la consultazione della corrispondenza in entrata accedendo ai mailbox elettroniche, definite negli standard tecnici quali MUA – Mail User Agent)”.

L’Autorità afferma, altresì, che questi “non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate a formare il cosiddetto envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio la sua provenienza e altri parametri tecnici”.

Le informazioni contenuti nell’envelope, infatti, pur corrispondendo a metadati registrati automaticamente nei log dei servizi di posta, sono inscindibili dal messaggio stesso, di cui sono parte integrante e che rimangono sotto il solo ed esclusivo controllo dell’utente (mittente o destinatario).

È bene specificare, quindi, che le indicazioni contenute nel documento di indirizzo non riguardano il contenuto dei messaggi di posta elettronica. Invece, le informazioni che attengono queste operazioni di invio, ricezione e smistamento dei messaggi possono riguardare i seguenti dati: indirizzi di mittenti e destinatari; indirizzi IP di server o di client; orari di invio; ritrasmissione; ricezione; dimensione dei messaggi; presenza e dimensione di eventuali allegati; e, a seconda del sistema di gestione del servizio di posta utilizzato, persino oggetto del messaggio spedito o ricevuto.

Conservare i metadati potrebbe comportare un controllo a distanza dei dipendenti.

Ebbene, le indicazioni dell’Autorità sono volte a fornire ai datori di lavoro regole specifiche per un utilizzo dei sistemi di posta elettronica rispettoso di quanto previsto dal disposto di cui agli artt. 113 e 114 D.Lgs. 30 giugno 2003, n. 196 ed all’art. 4 L. 20 maggio 1970, n.300 (c.d. Statuto dei Lavoratori). L’utilizzo di tali dati, infatti, ha importanti ripercussioni in punto di disciplina giuslavoristica, poiché i metadati cui si riferisce il Garante risultano essere registrati automaticamente dai sistemi di posta e indipendentemente dalla volontà dei dipendenti. Ecco, quindi, la necessità di ricorrere ad opportune misure di sicurezza volte a garantire tre differenti livelli di tutela: in primis, il contenuto dei messaggi di posta che, riguardando forme di corrispondenza per le quali è legittima una aspettativa di riservatezza, sono tutelati a norma degli artt. 2 e 15 Cost.; in secundis, la gestione di informazioni che, seppur raccolte nel contesto lavorativo, potrebbero non essere rilevanti a tali fini. Nella raccolta e memorizzazione dei log di posta elettronica, invero, il datore di lavoro deve garantire il rispetto della normativa atta a vietare il trattamento di informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o, comunque, afferenti alla sua sfera privata (art.8 L. 20 maggio 1970, n.300); infine, non certo per importanza, la circostanza secondo cui attraverso la raccolta e memorizzazione dei log di posta elettronica possano derivare controlli a distanza dei lavoratori, ciò in violazione del disposto di cui all’art.4, comma 1 L. 20 maggio 1970, n.300.

Come scongiurare tale rischio?

Ben sappiamo come l’art.4, comma 1, L. 20 maggio 1970, n.300, individua due prerogative essenziali che garantiscono al datore di lavoro la possibilità di utilizzare strumenti volti al controllo a distanza dell’attività dei lavoratori: che l’implementazione di tali sistemi risponda a finalità tassative (esigenze organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio) e che il datore stipuli accordi specifici. Prosegue il medesimo articolo, al successivo comma 2 che la norma predetta non trova applicazione con riferimento a tutti quegli strumenti utilizzati dai lavoratori per rendere la prestazione lavorativa e per gli strumenti di registrazione delle presenze.

Alla luce di tutto quanto predetto sino ad ora, quindi, appare inevitabile ritenere che la raccolta e la conservazione di metadati/log, seppur volta a garantire il corretto e regolare funzionamento dei sistemi di posta elettronica, comporti inevitabilmente un monitoraggio dei dipendenti. Il Garante, pertanto, al fine di garantire una rispondenza alla normativa appena vagliata, ovvero affinché si ritenga applicabile l’eccezione di cui all’art.4 comma 2 L. 20 maggio 1970, n.300, rileva come tale attività di raccolta e conservazione debba essere effettuata per un periodo limitato di tempo, che lo stesso individua in una tempistica non superiore a ventuno giorni.

Una conservazione per un termine maggiore ben può essere effettuata, previa valutazione della sussistenza di condizioni che rendano effettivamente necessaria tale estensione. Spetta, peraltro, al Titolare del trattamento adottare tutte le misure tecniche e organizzative per “assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati”.

Il Garante, quindi, è stato chiaro nel ritenere che una raccolta generalizzata ed una conservazione indiscriminata e superiore alle tempistiche predette di tutti i log degli account di posta dei dipendenti, potrebbe comportare un controllo a distanza degli stessi, che richiederebbe le cautele di cui all’art.4, comma 1, L. 20 maggio 1970, n.300, ovvero l’intervento di accordi specifici.

La mancanza di idonei presupposti giuridici a supporto di una raccolta e conservazione dei metadati infatti, potrebbe esporre al rischio di acquisire informazioni ed opinioni personali dei dipendenti, che non sono rilevanti ai fini dello svolgimento dell’attività professionale degli stessi.

Prosegue, poi, l’Autorità nel determinare specificamente quali compiti il Titolare del trattamento è tenuto ad adempiere, raccomandando l’adozione di misure che garantiscano il rispetto della protezione del dato “per impostazione predefinita”, ovvero nella misura necessaria e sufficiente per le finalità oggetto del trattamento e per il solo periodo strettamente necessario al raggiungimento di tali scopi. Questo anche quando il datore utilizzi prodotti e/o servizi realizzati da terzi, per i quali si deve rendere “attore primario” rispetto alla verifica della conformità ai principi applicabili al trattamento dei dati; il titolare, quindi, deve assicurarsi l’adozione da parte del fornitore di tutte le più opportune e specifiche misure tecniche e organizzative, impartendo al fornitore stesso istruzioni, laddove necessario. Inoltre, “il titolare del trattamento deve quindi accertare che siano disattivate le funzioni che non sono compatibili con le proprie finalità del trattamento o che si pongono in contrasto con specifiche norme di settore previste dall’ordinamento, ad esempio, commisurando adeguatamente anche i tempi di conservazione dei dati ovvero chiedendo al fornitore del servizio di anonimizzare i metadati raccolti nei casi in cui non si intenda effettuare una conservazione più prolungata degli stessi”.

Rispetto a tali attività, il Garante rappresenta l’importanza del supporto del Responsabile della Protezione dei Dati, ove designato.

Di contro, ai fornitori è chiesto un contributo fattivo nel verificare che i Titolari del trattamento adempiano concretamente alla protezione del dato, “contemperando le esigenze di commercializzazione su larga scala dei prodotti con la conformità degli stessi ai principi del Regolamento, anche nella prospettiva di migliorare il prodotto offerto, sotto il profilo della sua maggiore conformità al Regolamento”.

Un provvedimento destinato, certamente, a far discutere e per il quale attendiamo ulteriori, possibili sviluppi.

 

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!