Metadati e protezione dei dati personali

Prima di entrare nel merito delle indicazioni fornite dal Garante è necessario ricordare lo scopo del documento di indirizzo. La gestione dei metadati di posta elettronica, infatti, può sembrare un tema di secondaria importanza se non si considerano le implicazioni sui diritti e sulle libertà degli interessati.

I comuni sistemi di posta elettronica sono impostati in modo da generare una serie di informazioni, più o meno nascoste, correlate ai singoli messaggi inviati e ricevuti e, più in generale, agli account utilizzati. Fra queste informazioni vi rientrano, ad esempio, “gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati”, chiamati “metadati di posta elettronica” o “log di posta elettronica”.

I metadati rappresentano, quindi, un insieme di dettagli aggiuntivi in grado rivelare abitudini personali, schemi di comportamento e reti di relazioni degli individui. Per tale ragione e, in particolare, nel contesto lavorativo, è fondamentale che la raccolta e l’eventuale analisi di questi dati avvenga nel rispetto delle garanzie di segretezza della corrispondenza tutelate anche costituzionalmente.

Il documento di indirizzo e la consultazione pubblica

Sin dalla pubblicazione della prima versione del “Documento di indirizzo sulla conservazione dei metadati” (ne abbiamo parlato qui), il Garante ha reso nota l’esigenza di sensibilizzare enti ed imprese rispetto alla raccolta e al trattamento dei metadati, in modo da favorire la diffusione di migliori prassi a tutela dei diritti e delle libertà delle persone. Oltre a migliori prassi, tuttavia, il documento conteneva anche indicazioni specifiche rispetto ai termini massimi di conservazione dei metadati. Tali indicazioni hanno generato un’ampia discussione, con molteplici richieste di chiarimenti pervenute all’Autorità. Il Garante ha quindi deciso di sospendere l’efficacia del documento di indirizzo e di avviare una consultazione pubblica (ne abbiamo parlato qui).

Un equilibrio fragile

La consultazione ha consentito di raccogliere pareri e prospettive diverse, coinvolgendo un insieme estremamente eterogeneo di stakeholder: rappresentanti di enti ed imprese, provider e fornitori degli applicativi di posta elettronica, rappresentanti dei lavoratori, responsabili della protezione dei dati, responsabili IT e professionisti della sicurezza informatica, professionisti della privacy, etc.

Il tema della conservazione dei metadati, infatti, impatta sia sulle esigenze operative e di sicurezza perseguite da enti ed imprese, che sulle libertà e sui diritti fondamentali dei singoli lavoratori. La consultazione pubblica è stata determinante proprio per interrogarsi su questo, delicato, equilibrio, per bilanciare esigenze diverse e formulare strategie comuni condivisibili operativamente ed eticamente.

Le novità introdotte dal nuovo documento di indirizzo

Terminata la consultazione pubblica, in data 6 giugno 2024, il Garante ha pubblicato il provvedimento n. 364, contenente una “versione aggiornata” del Documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”.

Rispetto alla precedente versione, l’Autorità ha ritenuto opportuno:

• integrare una definizione di “metadati”, specificando che questi “corrispondono tecnicamente alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client”;
• integrare esempi concreti di informazioni qualificabili come “metadati”: indirizzi e-mail di mittente e destinatario, indirizzi IP dei server o client coinvolti, orari di invio, ritrasmissione o ricezione, dimensione del messaggio, presenza e dimensione di eventuali allegati e, a volte, l’oggetto del messaggio;
• circoscrivere meglio l’ambito di applicazione oggettivo del documento di indirizzo, individuando anche i dati che NON rientrano nella definizione di “metadati”: “le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate – ancorché talvolta non immediatamente visibili agli utenti dei software “client” di posta elettronica (i cosiddetti MUA – Mail User Agent)”. Si tratta di tutti quei dati che restano nella esclusiva disponibilità dell’utente/lavoratore, all’interno della casella di posta elettronica a questi attribuita;
• sensibilizzare i provider dei servizi di posta elettronica rispetto alla necessità di configurare, già in fase di progettazione, i prodotti sviluppati (applicativi / piattaforme) in considerazione del diritto alla protezione dei dati personali;
• ampliare e ridefinire le regole ed i criteri per la conservazione dei metadati.

Quali criteri? le raccomandazioni per la posta elettronica

Le modifiche al documento di indirizzo, pertanto, hanno riguardato anche il nucleo essenziale di raccomandazioni fornite. Parliamo di “raccomandazioni” e non di “regole” o “obblighi” in quanto lo stesso Garante specifica che il documento di indirizzo ha “natura orientativa” e che dallo stesso “non discendono nuovi adempimenti o responsabilità”. Al tempo stesso, però, l’Autorità prescrive chiaramente un termine massimo affinché sia ritenuto applicabile il comma 2 dell’art. 4 della L. n. 300/1970. È quindi bene tener presente che il mancato rispetto delle indicazioni “orientative” del Garante può portare a sanzioni per violazione delle norme in materia di controllo a distanza dell’attività lavorativa.

In particolare, la versione aggiornata del documento di indirizzo prevede che è possibile raccogliere e conservare i metadati di posta elettronica, senza la necessità di adempiere agli obblighi di cui al comma 1 dell’art. 4 della L. n. 300/1970 (accordo con le RSA/RSU o autorizzazione ITL/INL), se ricorrono alcune condizioni:

• l’attività di raccolta e conservazione deve riguardare i soli metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica,
• l’attività di raccolta e conservazione deve avvenire “per un periodo limitato a pochi giorni; a titolo orientativo, tale conservazione non dovrebbe comunque superare i 21 giorni”. L’eventuale estensione di tale termine è ammessa solo al ricorrere di particolari condizioni e avendo cura di comprovare la “specificità della realtà tecnica e organizzativa del titolare”;
• il datore di lavoro deve adottare tutte le misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità;
• il datore di lavoro garantire l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti;
• il datore di lavoro deve provvedere alla tracciatura degli accessi effettuati.

Come assicurarsi la compliance?

In conclusione, il documento di indirizzo non si limita a richiamare i principi fondamentali del Regolamento e a sensibilizzare rispetto alla gestione dei metadati di posta e al relativo potenziale impatto sui prestatori di lavoro. Le indicazioni “orientative” sono ben chiare ed è necessario attivarsi subito per:

• determinare, in base alle finalità perseguite, un termine di conservazione dei metadati congruo;
• accertarsi che il termine così determinato consenta di escludere l’applicazione del comma 1 dell’art. 4 della L. n. 300/1970, rientrando nelle deroghe di cui al comma 2;
• qualora, per specifiche esigenze, non sia possibile escludere l’applicazione del sopracitato primo comma, adempiere agli obblighi in materia di giuslavoro previsti dalla norma;
• valutare, con il supporto della funzione IT, le impostazioni messe a disposizione dal provider di posta elettronica;
• interfacciarsi direttamente con il provider, ove non sia possibile modificare agevolmente i termini massimi di conservazione dei metadati;
• informare ed istruire il personale.

Se hai bisogno di supporto nell’applicazione delle indicazioni del Garante, contattaci. I nostri consulenti sapranno fornirti le migliori indicazioni per assicurarti la compliance.

Se desideri invece approfondire la tematica ed i precedenti provvedimenti del Garante, ti ricordiamo che sono aperte le iscrizioni al nostro corso di alta formazione, giunto ormai alla 58esima edizione. Il programma del corso, consultabile qui, include una giornata dedicata al trattamento dei dati dei lavoratori, all’utilizzo di posta elettronica e web sul posto di lavoro.