Con la nota del 6 febbraio 2024, l’Autorità garante privacy ha reso noto di aver adottato un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro del comporto sia pubblico che privato.
In pratica, il Garante attraverso questo documento mette a disposizione di tutti i datori di lavoro, i quali facciano uso per la gestione della posta elettronica di programmi forniti anche in modalità cloud o as-a-service, “nuove indicazioni utili a prevenire trattamenti di dati in contrasto con la disciplina sulla protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori” come si legge testualmente nella citata nota.
Ma andiamo per gradi, illustrando prima il documento punto per punto, commentandolo dopo per sollevare infine qualche perplessità, stante le criticità in concreto.
Data protection day: le migliori pratiche per tutelare i dati personali e in azienda
Indice degli argomenti
E-mail dei dipendenti: il nuovo provvedimento del Garante privacy
Con il provvedimento n. 642 del 21 dicembre 2023 il Garante per la privacy ha adottato un documento che intende fornire alcune indicazioni a tutti i datori di lavoro (pubblici e privati) nonché ad altri soggetti coinvolti a vario titolo nel contesto lavorativo, onde da un lato promuovere la consapevolezza delle scelte, in primis organizzative, che i datori di lavoro nella loro veste di titolari del trattamento sono chiamati a effettuare per ragioni di accountability; e dall’altro al fine di evitare trattamenti illeciti poiché contrastanti con la disciplina in materia di protezione dati e le norme che tutelano la libertà e la dignità dei lavoratori (ex artt. 113 e 114 dell’attuale Codice Privacy).
Talché siano massimamente comprese e rispettate le norme e le garanzie da attuare nel mondo lavorativo, tenuto conto degli elevati rischi per i diritti e le libertà degli interessati che in questo si vengono a creare
Ma scendiamo nel merito.
I presunti accertamenti
Più nel dettaglio, il documento nasce a seguito di presunti accertamenti che l’Autorità avrebbe effettuato sulla base di un reclamo, verosimilmente.
Ai fini che ci occupano, tuttavia, non conta tanto l’antefatto quanto il risultato dal quale è emerso che taluni programmi/servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, risultano configurati in modo tale da “raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti” senza invece consentire ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione.
Queste, sostanzialmente, le criticità, come vedremo dopo e perché.
Sul significato dei metadati
Cosa sono i metadati? Partiamo dalla definizione. I metadati – dall’inglese “metadata” – sono i dati sui dati ovvero un insieme di informazioni sui dati. In pratica, si tratta di un dato che descrive una qualche proprietà di un altro dato.
Nel mondo digitale, i metadati sono quelle informazioni necessarie a un documento (informatico), affinché sia creato nel modo corretto, potendolo gestire, conservare e rendere accessibile nel tempo.
Perciò, tale detto documento deve essere messo in connessione a un insieme di informazioni da quelle basilari come nome del file, specifiche tecniche sulla versione del software e dell’hardware, date di creazione dall’accesso all’ultima modifica nonché paternità del documento, a quelle più complesse come la descrizione, i termini di rilascio, l’accesso, l’uso e l’oggetto.
Ecco che comprendere il significato e perimetro dei metadati di posta elettronica è fondamentale per poter rispondere alla finalità di questi che consiste nel migliorare la visibilità, la ricerca e l’accesso ai dati stessi.
Nella pratica, tali metadati sono “stringhe descrittive” di una e-mail che rappresentano le sole caratteristiche/proprietà, senza rivelarne il contenuto con eventuali allegati. Sia ben chiaro questo e il provvedimento/documento del Garante non stravolge affatto questo impianto.
Ciò posto, sono tipicamente metadati di posta: il giorno, l’ora, il mittente, il destinatario, l’oggetto e la dimensione dell’e-mail stessa.
Alcuni esempi di metadati della posta elettronica infatti includono:
- mittente e destinatario, indicando chi ha inviato il messaggio e a chi è destinato;
- data e ora, specificando quando il messaggio è stato inviato o ricevuto;
- indirizzi IP, segnalando l’indirizzo IP del mittente e del server di posta elettronica attraverso cui è stato inviato il messaggio.
La finalità è evidente: la sicurezza informativa. Infatti, in caso di incidente di sicurezza, l’analisi dei metadati della posta può agevolare l’individuazione della possibile causa dell’incidente financo data breach, per quanto questo sia sempre dalle organizzazioni scongiurato.
Chiarito questo possiamo ora passare all’analisi del documento di indirizzo, così come elaborato dal Garante.
Conservazione dei metadati dell’e-mail: il documento di indirizzo
Con il documento in disamina, il Garante quindi chiede testualmente “ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base”. L’obiettivo è chiaro: impedire la raccolta sistematica dei metadati, limitando il periodo di conservazione degli stessi “ad un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore”.
Ne consegue che entro al massimo 9 giorni “periodo considerato congruo, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore”, ritiene il Garante, i datori di lavoro dovranno eliminare tali dati.
Se ciò non fosse possibile richiedendo un tempo di conservazione più dilatato, bisognerà ricorrere alle procedure previste da Statuto del lavoratore.
Infatti, scrive il Garante, se per esigenze organizzative, produttive o di tutela del patrimonio anche informativo del titolare per ipotesi, specifiche esigenze di sicurezza dei sistemi, i datori di lavoro avessero necessità di trattare i metadati oltre i 7 + 2 gg, ecco che dovranno fare l’accordo sindacale o avere l’autorizzazione dell’ispettorato del lavoro. In assenza, ecco che si configura un controllo (indiretto) a distanza del lavoratore assolutamente vietato per legge (art. 4 L. 300/70) con conseguenze anche penali.
La struttura, introduzione e normativa di settore
Il documento si compone di più punti, che meritano essere analizzati separatamente, partendo dalla struttura e dalle parti introduttive.
Il Garante insiste, fin dall’inizio, sul fatto che circa i trattamenti di dati personali nel contesto lavorativo, il rischio della raccolta sistematica (e quindi per impostazione predefinita, in modo preventivo e generalizzato), di metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (come giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail) è decisamente elevato soprattutto in quei contesti aziendali in cui si adoperano programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud o as a service.
D’altronde, la gestione della posta elettronica in quest’ultima modalità cloud o come servizio (as a service) – Google Workspace ex G Suite, Microsoft 365 ex Office 365, per citarne alcuni – offre grande flessibilità, scalabilità e facilità d’uso. Questi servizi mettono a disposizione non solo la gestione delle e-mail, ma anche integrazioni con calendari, strumenti di collaborazione, spazio di archiviazione e altre funzionalità per migliorarne la produttività.
Ma non è tutto. Il Garante non si ferma alla raccolta, si occupa anche della conservazione, stabilendo i termini di data retention in 7 giorni più 2 eccezionalmente.
Per quanto riguarda poi la normativa di settore, il Garante parte dall’argomentare in materia di protezione dati personali, affermando testualmente che, per orientamento consolidato espresso dall’Autorità, “il contenuto dei messaggi di posta elettronica – come pure i dati esteriori delle comunicazioni e i file allegati – riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente (artt. 2 e 15 Cost.), che proteggono il nucleo essenziale della dignità della persona e il pieno sviluppo della sua personalità nelle formazioni sociali”.
In poche parole, il contenuto della e-mail de dipendente deve restare assolutamente riservato come da “Linee guida del Garante per posta elettronica e Internet” del primo marzo 2007, n. 13).
Quindi, il trattamento non è dato dall’e-mail, ma dalla gestione delle stesse e quindi dai “dati sui dati” di cui si è spiegato, che sono “aggregati” alle caselle di posta elettronica in uso ai dipendenti.
Poiché esiste un trattamento di dati personali, vieppiù nel contesto lavorativo, occorre un idoneo presupposto di liceità (ex artt. 5, par. 1, lett. a) e 6 del GDPR) prima di effettuarlo, dovendo sì rispettare le condizioni per il lecito impiego di strumenti tecnologici nel contesto lavorativo.
Di qui, la necessaria verifica della sussistenza dei requisiti di cui all’art. 4 dello Statuto dei lavoratori (L. 300/1970), in combinato disposto con l’art. 114 dell’attuale Codice Privacy, facendo “divieto al datore di lavoro di acquisire e comunque trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata”, continua ad argomentare il Garante.
L’Autorità richiama poi l’obbligo di informativa che incombe, come noto, sul titolare del trattamento/datore di lavoro dal momento che gli interessati/lavoratori hanno diritto di avere una “chiara rappresentazione del complessivo trattamento effettuato”, e al riguardo evoca il noto caso Barbulescu (sentenza della Corte Europea dei Diritti dell’Uomo del 5 settembre 2017 – Ricorso n. 61496/08).
Naturalmente il Garante invoca poi il principio di accountability a mente del quale “spetta al titolare valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche – in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalità perseguite – che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali”. In breve, la famosa DPIA (ex art. 35).
Il tutto viene infine rafforzato dalle indicazioni fornite anche a livello europeo a proposito dell’allora Gruppo di Lavoro ex art. 29 con il WP 248 del 4 aprile 2017, a mente del quale la necessità della DPIA ricorre “in caso di raccolta e memorizzazione dei metadati relativi all’impiego della posta elettronica, stante la particolare vulnerabilità degli interessati nel contesto lavorativo, nonché il rischio di monitoraggio sistematico inteso come trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti”.
Con riguardo poi alla disciplina di settore in materia di controlli a distanza, richiama l’art. 4, comma I, della L. 300/1970, come modificato dal D.lgs. 151/2015, cd jobs act, che individua tassativamente le finalità (organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale) per le quali “gli strumenti, dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere impiegati nel contesto lavorativo, stabilendo precise garanzie procedurali (accordo sindacale o autorizzazione pubblica)”.
Tuttavia, esulano per il vero da tale prescrizione, “gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” tra cui tipicamente rientra la e-mail. Si tratta di una disciplina meno rigida e restrittiva in quanto, per sua natura, funzionale all’attività lavorativa in sé e per sé.
Le possibili responsabilità per i datori di lavoro pubblici e privati
Scendiamo sempre più nel merito del documento di indirizzo, evidenziando quelle che potrebbero essere le conseguenze nel caso in cui non lo si rispettasse.
È semplice: ci sarebbe anzitutto un trattamento illecito per i motivi già esposti e ulteriormente ribaditi, sul punto, nel documento in parola cui si rinvia per completezza.
Poi si paleserebbe una violazione del principio di limitazione della conservazione non risultando i tempi di conservazione dei metadati proporzionati rispetto alle finalità (sicurezza informativa e tutela del relativo patrimonio) perseguite. D’altronde la conservazione pari a zero non sarebbe nemmeno possibile altrimenti verrebbe meno quell’obiettivo atto a, scrive il Garante, “rilevare e mitigare eventuali incidenti di sicurezza, adottando tempestivamente le opportune contromisure”.
Ancora, si configurerebbe un’ulteriore violazione del principio di by design e by default (id est protezione dei dati fin dalla progettazione e per impostazione predefinita) e non da ultimo di accountability, l’architrave dell’intero impianto del GDPR.
E qui, chiama in causa anche il DPO/RPD (ove presente) il quale è chiamato a supportare il titolare del trattamento, nella gestione dei trattamenti che derivano dall’utilizzo di prodotti o servizi di terze parti, quando va assolutamente dimostrata la compliance (che rammentiamo essere non solo mera conformità normativa, ma di più vale a dire una forma di acquiescenza alla normativa di settore) alla protezione dei dati grazie all’adozione e messa in atto di tutte le opportune misure tecniche e organizzative, impartendo altresì le necessarie istruzioni al fornitore del servizio[1].
Le iniziative concrete in ottica di compliance al GDPR
Al termine del documento, il Garante offre alcune soluzioni, e in particolare afferma letteralmente che “si rende necessario verificare con la dovuta diligenza che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service – consentano al cliente (datore di lavoro) di modificare le impostazioni di base, impedendo la raccolta dei predetti metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di sette giorni, estensibile di ulteriori 48 ore”.
E qui invita “i produttori dei servizi e delle applicazioni, in fase di sviluppo e progettazione degli stessi, a tenere conto del diritto alla protezione dei dati tenuto conto dello stato dell’arte”. In altri termini, questo documento si rivolge ai grandi player (Isp), sostanzialmente; per quanto a cascata coinvolga tutti e da qui i primi problemi che tra poco metteremo a fuoco.
Ancora, il Garante tiene a precisare che le indicazioni di questo documento di indirizzo si riferiscono anche nel caso in cui, in ambito pubblico, i programmi e servizi informatici in questione siano acquisiti tramite convenzioni/piattaforme che le PA devono o possono utilizzare per l’acquisto di beni e servizi; e per il cloud, richiama quanto indicato nel report “2022 Coordinated Enforcement Action Use of cloud-based services by the public sector” dell’EDPB (nel gennaio 2023) inerente alle misure tecniche e organizzative necessarie ad assicurare il rispetto del GDPR garantendo, in particolare, che i fornitori dei servizi cloud trattino dati personali solo per conto dei rispettivi titolari e sulla base di istruzioni ricevute.
Qualche considerazione a corredo: tra commenti, dubbi e criticità
Dopo aver esposto fedelmente il documento di indirizzo in questione, non possiamo non fare qualche considerazione.
Commenti sui trattamenti connessi all’uso dell’e-mail tra GDPR e Statuto dei lavoratori
Come noto, i trattamenti effettuati dal datore di lavoro nella sua qualità di titolare del trattamento sui dati personali dei propri dipendenti sono soggetti, tra le altre norme, all’art. 4 della L. n. 300/1970 in combinato disposto con l’art. 114, del D.lgs. 196/2003.
La posta elettronica utilizzata dai dipendenti nell’ambito del rapporto di lavoro ha una doppia anima, nel senso che da un lato rappresenta uno “strumento di lavoro”, dall’altro è un mezzo su cui avviene un trattamento di dati di dipendenti per l’utilizzo dei metadati da cui può derivare la possibilità di un controllo a distanza del lavoratore, da parte del datore di lavoro.
Il Garante nello stabilire che la conservazione di tali dati per un tempo non superiore a 7 giorni – estensibili a ulteriori 48 ore in presenza di documentate esigenze che giustifichino tale prolungamento – non richiede l’espletamento delle procedure di garanzia, offre una precisa indicazione che, se recepita, non aggrava il sistema anzi lo rende compliance al GDPR.
Sulla posta elettronica in generale nel contesto lavorativo il Garante ha sempre avuto uno sguardo attento, per le ragioni di cui sopra (tutela della segretezza/riservatezza del lavoratore).
Mentre sui metadati l’unico precedente degno di nota è dato dal provvedimento contro la Regione Lazio del primo dicembre 2022. In quel caso, il Garante aveva affermato letteralmente che: “per prassi il traffico delle email è conservato per 180 giorni circa prima di essere definitivamente cancellato” e che “per disporre di tale traffico non si accede né ai computer del personale né tantomeno alla loro casella di posta” in quanto “quando si parla di traffico di posta che il sistemista può vedere” si fa riferimento ai “dati a contorno come […] il giorno, l’ora, il mittente, il destinatario, l’oggetto e la dimensione dell’email stessa. Non è possibile vedere né il contenuto, né eventuali allegati”.
In estrema sintesi, non potendo entrare direttamente nella casella dei soggetti (perché sarebbe stato troppo) il datore di lavoro, in quel caso, era andato a cercare di desumere informazioni dai metadati lato server.
Ora, che i metadati della posta elettronica dei dipendenti siano “dati” ai sensi del GDPR è fuor di dubbio. Ma le criticità sui tempi di conservazione non mancano.
Alcuni dubbi e criticità sui tempi di conservazione
Alcuni dubbi e talune criticità, a ben guardare, sorgono già in relazione alla conservazione delle informazioni relative alle e-mail; e i motivi sono svariati: dai requisiti legali, investigativi (analisi forense o per indagini di sicurezza informatica) alle esigenze di conformità normativa.
Più in generale, viviamo il tema della data retention come una spina nel fianco. A maggior ragione se si tratta di metadati della posta elettronica. Nelle realtà medie piccole, infatti, è indiscusso che ci si affidi a grandi piattaforme di posta (Google o Microsoft) e non sempre si ha contezza che le impostazioni sui metadati vengano verificate.
Ci si affida per praticità alle impostazioni predefinite del fornitore prendendole di default, senza contare che non sempre l’Organizzazione ha gli strumenti per affrontare il problema o peggio ancora – come ha evidenziato dal Garante – il fornitore medesimo non offre una facoltà di scelta, in tal senso.
Cosicché capiamo che in realtà il vero problema sono i grandi player fornitori dei sistemi di posta, i quali dovrebbero introdurre “by design” il limite massimo di 7 giorni suggeriti dal Garante, dando al Datore di lavoro la possibilità di aumentarli solo in presenza delle condizioni richieste per legge.
Con ciò, è bene ribadire che il Garante non vieta affatto una conservazione maggiore, ma richiede l’applicazione delle tutele richieste dal GDPR e dallo Statuto dei Lavoratori quindi accordo o autorizzazione.
La criticità che si ravvisa tuttavia parte dal postulato che non esiste la possibilità di conservare le e-mail senza i loro metà dati, anche smistandole in modo funzionale restano indicizzate e ricercabili.
Il provvedimento/documento in parola, quindi, non risolve un problema, ma semplicemente lo sposta.
Conclusioni
Alla luce di tutte le considerazioni sinora svolte, a ben guardare, il provvedimento/documento di indirizzo analizzato interessa, lato passivo, i big (Regioni, multinazionali, ovvero organizzazioni strategiche, ove sono gestiti un numero elevato di account e-mail, e che hanno la sensibilità di gestire la sicurezza e/o comportamenti anomali mettendo in atto la tecnica del cd troubleshooting per svariati casi (dai problemi nella ricezione delle e-mail, alle indagini forensi) evidentemente non rinunceranno ai loro metadati e quindi ci saranno accordi sindacali a raffica.
Mentre per quelle realtà al di sotto dei 100-200 dipendenti, peraltro la maggior parte in Italia, probabilmente manco sanno e difficilmente fanno uso di questi report. La portata applicativa di questo documento proprio con riguardo a loro non esclude che d’ora in avanti non debbano anche loro configurare annessi sistemi di posta in SaaS.
Ecco che il documento in parola, introduce una significativa sfida: bilanciare le stringenti normative sulla privacy con la necessità di proteggere le proprietà aziendali, per quanto il documento in sé a ben guardare non è una novità, semmai una conferma, volta a fornire indicazioni di compliance ai datori di lavoro pubblici e privati sulla base di esperienze risalenti del Garante (il Provv. n. 303/2016, Università degli studi “G. D´Annunzio” di Chieti e Pescara). Ma seguiamo gli sviluppi, per ulteriori eventuali commenti.
NOTE
Cfr. artt. 5, par. 2, 24, 25 e 32 del Regolamento; cfr., con riguardo a specifici trattamenti in ambito lavorativo, provv.ti 28 ottobre 2021, n. 384, doc. web n. 9722661, e 10 giugno 2021, n. 235, doc. web n. 9685922; ma v. anche provv. 17 dicembre 2020, n. 282, doc. web n. 9525337). ↑