Il Garante per la protezione dei dati personali ha recentemente emanato il provvedimento n.642 –Programmi e servizi informatici di gestione della posta elettronica e nel contesto lavorativo e trattamento dei metadati. Attraverso questo documento, il Garante della Privacy fornisce informazioni e linee guida di indirizzo ai datori di lavoro pubblici e/o privati circa l’utilizzo dei programmi e servizi informatici per la gestione della posta elettronica, con particolare riferimento agli aspetti di “data retention”.
Inquadramento normativo
In merito al tema della posta elettronica, le disposizioni delle Linee guida del Garante per la posta elettronica e Internet devono essere seguite attentamente, insieme a quanto stabilito dal GDPR e all’articolo 4, comma 1 dello Statuto dei lavoratori riguardante i controlli a distanza.
Il suddetto provvedimento nasce a seguito di opportuni accertamenti da parte del Garante, in cui è emerso il rischio che alcuni servizi informatici possano raccogliere – in maniera automatica e generalizzata – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti, conservando gli stessi per un lungo periodo di tempo.
Volendo riassumere in modo molto sintetico il Provvedimento, possiamo identificare i seguenti macro-temi:
- DATA RETENTION: Un datore di lavoro deve verificare alcune caratteristiche di “data retention” dei programmi di gestione dei metadati dei sistemi di posta elettronica, sia che questi siano “on premise” sia (e soprattutto) nel caso di servizi forniti da provider esterni in cloud e/o in modalità as-a-service;
Secondo il provvedimento è necessario che le impostazioni di base non consentano la raccolta dei metadati oppure ne limitino il loro periodo di conservazione ad un massimo di 7 giorni, estensibili di ulteriori 48 ore “in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento”;
- TIPI DI DATI: il Provvedimento si rivolge alla conservazione dei metadati delle mail, senza scendere nella definizione totalmente esaustiva degli stessi, in quanto questo aspetto tecnico va oltre le finalità del documento di indirizzo; tuttavia, sono indicati, a titolo esemplificativo, alcuni tipi di metadati: “giorno, ora, mittente, destinatario, oggetto e dimensione dell’email”)
- STATUTO DEI LAVORATORI E GDPR: I datori di lavoro che per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare (in particolare, per la sicurezza dei sistemi) avessero necessità di trattare i metadati per un periodo di tempo più esteso, dovranno espletare le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro) unitamente ad una DPIA (Valutazione di impatto art. 35 GDPR).
Aziende: iniziative da intraprendere
Il Garante ha identificato le azioni che i datori di lavoro devono avviare per contrastare il trattamento non conforme dei dati personali rispetto alla normativa attuale.
È fondamentale, in primis, verificare attentamente che i programmi e i servizi informatici in questione offrano la possibilità di modificare le impostazioni predefinite, al fine di evitare la raccolta dei metadati o di limitare il periodo di conservazione di tali dati a un massimo di sette giorni, eventualmente estendibile di ulteriori 48 ore solo in circostanze particolari.
Dubbi e approfondimenti
Il Provvedimento, sicuramente importante ai fini di bilanciare le esigenze dei Titolari (e datori di lavoro) con i diritti e le libertà fondamentali dei soggetti interessati, sta generando un acceso dibattito e confronto in quanto, per coglierne in pieno l’essenza, occorre analizzare in modo approfondito sia gli aspetti normativi sia gli aspetti tecnici. Ad esempio, alcuni aspetti da approfondire sono i seguenti:
- Il Provvedimento si riferisce alla conservazione dei metadati e non delle mail: questi due elementi, tecnicamente, si possono scindere?
- I metadati e le mail contengono entrambe le tipologie di dati personali ma con finalità diverse (mail = corrispondenza, metadati = gestione, monitoraggio, sicurezza del servizio) e la titolarità di questi due tipi di dati potrebbe essere diversa (soprattutto nei casi di servizi di posta forniti da provider esterni);
- Le mail aziendali non sono tutte afferenti ad un singolo dipendente: vi sono mail del tipo info@azienda.it, commerciale@azienda.it. Queste sono definite “contenitori collettivi” (come suggerito anche dal Provv. 1° marzo 2007 in tema, del Garante stesso). Queste caselle mail non sono soggette al recente Provvedimento? In ogni caso è possibile tecnicamente definire criteri differenti per metadati associati a diverse tipologie di caselle e-mail (personali e collative)?
- In questo periodo siamo e saremo sempre più alle prese con temi di compliance che si stanno affacciando prepotentemente (ex: AI Act) e che ci chiedono di pensare in modo innovativo ad un bilanciamento fra nuove tecnologie e diritti e libertà fondamentali dei soggetti interessati; questo tema come si inserisce in questo contesto di evoluzione tecnologia e di relativa compliance?
Tutti questi aspetti meritano un serio approfondimento.
Iscriviti al webinar
Pertanto pensiamo che sia opportuno organizzare e dibattere il Provvedimento insieme a tre professionisti, al fine di analizzare il tema da più punti di vista (organizzativo, giuridico e tecnico) nel prossimo webinar gratuito: “WEBINAR – La data retention di mail e metadati” il prossimo 29 febbraio 2024 alle ore 16:30 con:
- Piermaria Saglietto – CEO Compet-e srl, Lead Auditor ISO/IEC 27001/17/18 e ISO 22301, GDPR e senior Data Protection consultant;
- Marco Cuniberti – Avvocato, esperto di ICT Law e soluzioni legali innovative, Lead Auditor ISO/IEC 27001, GDPR e Data Protection consultant, E-commerce e ICT Law;
- Gianmauro Calligaris – CEO Si-tek Informatica, leader di servizi tecnologici di comunicazione e storage.