Lo scopo del Documento di indirizzo

Come abbiamo visto in questo articolo, attraverso il provvedimento del 21 dicembre 2023 (riportato nella newsletter del Garante del 6 febbraio 2024), la nostra Autorità di controllo in materia di protezione dei dati personali ha pubblicato il Documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto a tutte le organizzazioni nel settore pubblico e privato.
Il principale fine del provvedimento, si legge fra le premesse, è quello di sensibilizzare enti ed imprese rispetto alla raccolta e al trattamento dei metadati derivanti dall’utilizzo di sistemi di posta elettronica, in modo da favorire la diffusione di migliori prassi a tutela dei diritti e delle libertà degli utenti interessati.

Non solo raccomandazioni

Il Garante, tuttavia, oltre a promuovere la consapevolezza del pubblico mediante l’attività informativa, ha deciso di fornire indicazioni rigorose, in particolare rispetto alla conservazione dei metadati generati dalle piattaforme di posta elettronica, utilizzate nel contesto lavorativo.

Tale decisione è stata presa alla luce di quanto emerso nel corso degli accertamenti ispettivi condotti dall’Autorità, accertamenti che avevano già condotto a precedenti sanzioni particolarmente onerose.

Nel mese di dicembre 2022, infatti, le indagini del Garante avevano portato a comminare una sanzione pari a 100.000 euro nei confronti di Regione Lazio. Attraverso la piattaforma di posta elettronica in uso, la Regione raccoglieva, “in modo preventivo e generalizzato”, metadati relativi all’utilizzo degli account di posta elettronica istituzionale assegnati ai dipendenti e successivamente conservava gli stessi per 180 giorni (per generiche finalità di sicurezza informatica). L’Autorità rilevava, pertanto, l’illiceità del trattamento di dati personali, nonché la violazione delle disposizioni giuslavoristiche a tutela dei lavoratori.

La conservazione dei metadati

Il Documento di indirizzo, quindi, oltre a richiamare gli adempimenti da porre in essere per assicurarsi la conformità alle norme privacy (il GDPR) e giuslavoristiche (la L. 300/1970 e s.m.i.), fornisce delle indicazioni specifiche proprio in relazione alla conservazione dei metadati.

Affinché la raccolta e la conservazione dei metadati possa considerarsi rientrante nel secondo comma dell’articolo 4 L. 300/1970 (e quindi essere esente dalla necessità di accordo sindacale / autorizzazione ITL/INL), deve essere limitata all’esigenza di assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, per un lasso di tempo non superiore a poche ore o ad alcuni giorni, “in ogni caso non oltre sette giorni,  estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore”.

Quali oneri in capo ad enti ed imprese?

Dal Documento di indirizzo derivano specifici oneri in capo ai titolari del trattamento dei dati.

In primo luogo i titolari dovranno verificare le modalità di configurazione dei servizi informatici di posta elettronica in uso, avendo cura (ove sia possibile modificare tali settaggi) di impedire o di limitare il periodo di conservazione dei metadati. Tale attività dovrebbe essere svolta anche interfacciandosi con il provider del servizio, in particolare nel caso di servizi cloud-based.

Qualora tale operazione, per qualsiasi ragione, non risultasse possibile, i titolari, in qualità di datori di lavoro, dovranno assicurarsi di garantire il rispetto dell’articolo 4, comma 1, L. 300/1970. Ciò significa che, in presenza dei presupposti di cui alla norma, potranno trattare metadati per un periodo di tempo superiore a quello stabilito dal Garante solo “previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. […] In mancanza di accordo, […] previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell’Ispettorato nazionale del lavoro”.

A ciò si aggiungono gli adempimenti correlati al presidio della conformità alla disciplina in materia di protezione dei dati personali e, in particolare:

• Verificare e poter dimostrare il rispetto dei principi generali del trattamento: liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza;
• Determinare le modalità di raccolta dei metadati in funzione delle specifiche finalità perseguite (es. sicurezza informatica e tutela dell’integrità del patrimonio, anche informativo, aziendale);
• Adottare misure tecniche ed organizzative per dimostrare la conformità al regolamento e garantire la sicurezza dei trattamenti svolti;
• Adottare misure volte ad assicurare il rispetto dei principi della protezione dei dati fin dalla progettazione del trattamento e per impostazione predefinita;
• Istruire gli incaricati/autorizzati al trattamento ed assicurarsi che i provider del servizio di posta elettronica siano nominati responsabili del trattamento;
• Assicurare la trasparenza del trattamento mediante apposite informative agli interessati;
• Inserire il trattamento all’interno del registro ex art. 30 GDPR;
• Valutare i rischi derivanti dal trattamento dei metadati per i diritti e le libertà delle persone fisiche, in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalità perseguite;
• Effettuare, se del caso, la valutazione di impatto sulla protezione dei dati personali e andare in consultazione preventiva qualora permangano rischi residui elevati.

Quali implicazioni?

Tali conseguenze per le organizzazioni hanno portato molti esperti di settore a definire come ‘sproporzionate’ le indicazioni relative ai termini di conservazione fornite nel Documento di indirizzo.

Infatti, l’entrata in vigore del provvedimento, nella sua configurazione attuale, comporterebbe che:

• tutte le organizzazioni dovrebbero interfacciarsi con grandi provider di servizi di posta (quali Microsoft e Google) per richiedere l’applicazione di modifiche ad hoc / granulari. Alternativamente dovrebbero modificare le impostazioni di default settate dal provider, ove possibile. Si tratta di operazioni difficili da applicare, soprattutto in termini di tempo e risorse;
• l’eliminazione o la limitazione dei metadati rischierebbe di compromettere le esigenze di sicurezza della corrispondenza: in caso di attacchi informatici, ad esempio, accedere ai metadati per verificare quale vulnerabilità è stata sfruttata può essere fondamentale per prevenire attacchi futuri;
• anche tutte le indagini forensi e le investigazioni penali rischierebbero di venire compromesse dall’eliminazione o la limitazione dei metadati.

Per evitare di eliminare o limitare i metadati, molte organizzazioni si troverebbero, quindi, costrette garantire il rispetto dell’articolo 4, comma 1, L. 300/1970, con potenziali disagi anche in capo agli uffici dell’Ispettorato del Lavoro adibiti al rilascio delle autorizzazioni.

La decisione del Garante: avviata la consultazione pubblica

In considerazione delle richieste di chiarimenti ricevute, l’Autorità Garante, con il Provvedimento del 22 febbraio 2024 (comunicato del 27 febbraio 2024), ha deciso di differire l’efficacia del documento di indirizzo e promuovere una consultazione pubblica.

Scopo della consultazione è quello di raccogliere osservazioni e proposte sulla congruità del termine di conservazione dei metadati.

Quindi, quando il Documento di Indirizzo diverrà applicabile?

La consultazione durerà 30 giorni dalla data di pubblicazione dell’avviso pubblico sulla Gazzetta Ufficiale (ad oggi non ancora pubblicato).

L’efficacia del Documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” viene quindi ufficialmente differita sino:

• al termine della predetta consultazione pubblica, all’esito della quale il Garante si riserva di adottare ulteriori determinazioni.

In caso di mancata adozione di ulteriori determinazioni, invece, l’efficacia del Documento di indirizzo slitterà:

• al sessantesimo giorno successivo la scadenza del termine per la presentazione dei contributi richiesti nell’ambito della consultazione.

Restiamo dunque in attesa, nella speranza che il Garante adotti ulteriori determinazioni che consentano di alleggerire, almeno parzialmente, gli oneri previsti dal Documento di indirizzo in capo ad enti ed imprese.

Se desideri restare aggiornato rispetto al tema della conservazione dei metadati iscriviti alla nostra newsletter: clicca qui.

Ti informiamo, inoltre, che i nostri corsi di Alta Formazione per Privacy Manager e Data Protection Officer includono due moduli relativi al trattamento dei dati dei lavoratori, all’uso di internet, della posta elettronica e di altri strumenti comportanti un potenziale controllo a distanza dell’attività lavorativa. Vengono analizzati alcuni dei principali provvedimenti dell’Autorità, anche in relazione alla raccolta di metadati. Se desideri consultare il programma completo ed iscriverti clicca qui.