Il documento di indirizzo del Garante privacy denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro del comparto sia pubblico che privato ha generato ampio dibattito per quel che concerne la raccolta e la conservazione dei metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti.
Ma ci sono aspetti poco considerati che pure se non urgentemente affrontati rischiano di mettere in ginocchio la sicurezza informatica del Paese. Vediamo perché.
Il ruolo dei metadati nelle e-mail e la sicurezza informatica
Ogni operazione compiuta giornalmente sul sistema informatico aziendale genera un file di log. Raccogliere e conservare questi dati, è il presupposto per un efficace contrasto al cybercrime: se solo alcuni log fossero raccolti, o se si limitasse la possibilità di analisi a un arco temporale troppo breve, la sicurezza informatica ne sarebbe inevitabilmente pregiudicata. Questa ineludibile realtà, sempre più evidente se solo si guarda alla misura e natura dei cyberattacchi dell’ultimo anno, va ovviamente filtrata con le norme poste a tutela dei lavoratori interessati.
Viene in questione, quindi (accanto alle altre norme del Codice privacy e del GDPR) l’art. 4 dello Statuto dei Lavoratori, sia nella sua versione originaria, sia in quella disegnata nel 2015 dal Jobs Act che, come noto, accanto alla introduzione del concetto di strumento di lavoro (estraneo per sua natura alla tutela procedimentale), ha esteso ai trattamenti svolti per legittime finalità di “tutela del patrimonio aziendale” l’area necessariamente soggetta ad accordo sindacale (o, in subordine, all’autorizzazione dell’Ispettorato del Lavoro).
Ora, se si vuole provare a immaginare una soluzione effettiva, guardando con coraggio alla realtà, il problema della legittimazione (sindacale o amministrativa) non si limita affatto a un solo segmento come quello dei cosiddetti metadati delle e-mail al quale sono dedicate le note Linee di indirizzo 642/23 adottate dal Garante Privacy, appena fatte oggetto del differimento di 30 giorni disposto in uno all’avvio della consultazione pubblica (doc web 9987602 del 27.02.24).
L’importanza dei log per la gestione della cybersicurezza
In verità, infatti, tutte le operazioni compiute dal lavoratore sul sistema informatico (dall’accesso al sistema stesso alla navigazione internet, dall’uso della posta elettronica a quello di qualsiasi altro applicativo) generano file di log che, se riguardati nella sola prospettiva della tutela del patrimonio aziendale, si rivelano fondamentali per una gestione compiuta della cybersicurezza.
Vediamo perché: in un mondo in cui le tecniche di attacco si fanno sempre più sofisticate, e nel quale ogni realtà imprenditoriale è chiamata a innalzare le misure di contrasto, si sono via via affermati e si vanno consolidando i cosiddetti SOC (Security Operation Center), sistemi centralizzati spesso gestiti da outsourcer specializzati, che analizzando i dati relativi alle attività svolte sul sistema informatico tentano di prevenire gli attacchi.
Sistemi che fondano, appunto, su due pilastri strutturali: a) l’analisi compiuta di tutti i log (non solo quelli relativi all’uso delle e-mail); b) una profondità storica ampia, che tenga conto dei tempi medi di latenza dei malware che si vanno affermando sul mercato, costruiti per lavorare in silenzio anche per lunghi periodi, e per esplodere in tutta la loro portata critica a distanza anche di 4 o 5 mesi dalla loro malevola e nascosta installazione.
L’impatto della disattivazione dei SOC non legittimati
Se si parte dall’assunto che per legittimare questi trattamenti l’unica via sia quella di passare dall’accordo sindacale (o dall’autorizzazione ministeriale), e se venisse confermata concettualmente la indicazione del Garante (invero frutto dei principi generali) a tenore della quale fino al momento in cui tale percorso non sia stato esaurito, le attività di raccolta conservazione e analisi dovrebbero considerarsi illegittime, ci troveremmo in questa a dir poco spiacevole situazione: tutti i SOC non legittimati non si sarebbero nemmeno potuti utilizzare, e quelli in uso andrebbero immediatamente disattivati.
Partendo dall’assunto che la quasi totalità (ed è un eufemismo) delle aziende che utilizzano i SOC non si è affatto coperta sotto il profilo della legittimazione ex art. 4, l’impatto in termini di sicurezza generale del sistema sarebbe devastante.
La necessità di una soluzione compiuta e urgente
Deve quindi esser studiata con assoluta urgenza una via d’uscita compiuta, e in questa prospettiva, limitare la consultazione pubblica appena avviata dal Garante al solo tema dei metadati delle e-mail può rivelarsi poco utile in termini generali, a meno che non si utilizzi quella occasione per allargare finalmente lo sguardo.
La soluzione non può esser solo (come paventato dal Ministro del Lavoro in una intervista) la semplificazione delle procedure autorizzative avanti all’Ispettorato: una misura di quel tipo è stata certamente utile in altri ambiti (ad esempio la videosorveglianza), ma con riguardo al tema della cybersecurity rischia di porsi alla fine di un percorso che, nel frattempo, può mettere in ginocchio la sicurezza informatica di un Paese intero. O lasciare così com’è una situazione che si continua a far finta di non vedere, secondo il noto adagio “tutti colpevoli, nessun colpevole”.
Mai come in questo momento, è quindi auspicabile che tutti gli attori in campo (dal Ministero al Garante, dall’Ispettorato Nazionale alle Associazioni di categoria) provino a trovare una soluzione interpretativa (o normativa?) che sia in grado di dipanare questa altrimenti ingestibile matassa.
Le Linee di indirizzo sui metadati delle e-mail: natura e portata
Nel frattempo, la massima attenzione deve esser prestata con riguardo alla effettiva natura delle Linee di indirizzo sui metadati delle e-mail che hanno scatenato il dibattito, e sulla reale portata del provvedimento che ha aperto la consultazione pubblica: il primo, non conteneva prescrizioni, diversamente, il Garante avrebbe dovuto citare a sostegno delle sue indicazioni le norme che lo abilitano all’esercizio dei poteri prescrittivi generalizzati (se ancora esistono).
Non dimentichiamo quindi che stiamo parlando di mere Linee di indirizzo (espressamente adottate a norma degli art. 57, par. 1, lett. b) e d) del GDPR e dell’art. 154 bis comma 1 lett. a) del Codice Privacy) nell’esercizio del mero potere di “promuovere la consapevolezza” sulla portata delle norme, di tal che il tema che ogni azienda doveva e deve affrontare non era e non è, la violazione di una indicazione (che non ha alcuna portata prescrittiva), ma è quello di valutare in termini generali la legittimità del proprio operato, nello specifico con riguardo alla applicazione dell’art. 4 dello Statuto dei Lavoratori, la cui esegesi non è rimessa (ovviamente) in via esclusiva al Garante.
A cascata, non bisogna compiere l’errore di pensare che il provvedimento che ha aperto la consultazione pubblica, delineando un periodo di 90 giorni (30 per la consultazione e 60 per la eventuale revisione delle Linee di indirizzo) abbia la portata di un temporaneo libera tutti: se si ritiene che raccogliere e conservare i log di sistema sia illegittimo per violazione della norma statutaria, quella illegittimità è formalmente intangibile alle ultime prese di posizione del Garante (e, specularmente, se la si ritiene legittima, non sono le Linee di indirizzo a poter ex se cambiare la situazione).
La necessità di chiarezza normativa e interpretativa
Si affrontino, quindi, i problemi una volta per tutte. E se del caso si arrivi anche a una norma o a un provvedimento prescrittivo del Garante o di altra Autorità. Ma si faccia chiarezza, una volta per tutte, e con il concorso di tutti gli attori in campo. L’alternativa, è il caos nel quale eravamo e siamo precipitati.
