La corretta gestione dei metadati può rappresentare un alleato fondamentale per le imprese nell’affrontare le sfide poste dalla cyber sicurezza, ma è necessario operare nel rispetto del quadro normativo europeo e nazionale per garantire la tutela dei diritti dei lavoratori.
Il Garante per la Protezione dei Dati Personali italiano ha recentemente affrontato questo tema, sottolineando l’importanza di una separazione netta tra metadati ed email personali dei lavoratori.
In questo scenario complesso e in continua evoluzione, gli accordi collettivi possono svolgere un ruolo chiave per garantire una conservazione responsabile ed etica delle informazioni digitali.
Metadati e tutela dei lavoratori: il punto di vista del Garante
Il tema della congruità dei tempi di conservazione dei meta dati è stato, appunto, affrontato nell’ultimo Provvedimento di indirizzo del Garante, denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, e sta sollevando un ampio dibattito.
Il tema posto dall’Autorità parte dalla volontà di ribadire con fermezza il principio che il contenuto dei messaggi di posta elettronica – come pure i dati esteriori delle comunicazioni e i file allegati – riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente (artt. 2 e 15 Cost.), che proteggono il nucleo essenziale della dignità della persona e il pieno sviluppo della sua personalità nelle formazioni sociali. Pertanto, come l’Autorità ha avuto modo di sottolineare già nel 2007, con le “Linee guida del Garante per posta elettronica e Internet” anche nel contesto lavorativo pubblico e privato, può sussistere una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza.
Premesso quanto sopra, l’Autorità ha rilevato, a seguito di accertamenti, che alcuni programmi e servizi informatici per la gestione della mail, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti.
Pertanto il Garante nel ribadire il rispetto delle disposizioni che vietano al datore di lavoro di acquisire e comunque trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore, o comunque afferenti alla sua sfera privata, evidenzia che i metadati pur non contenendo il contenuto del messaggio di posta possono rivelare molti dettagli, oltre che sulla attività lavorativa, anche sulla vita privata, a partire dalle relazioni personali alle abitudini, posto che viene indicato con chi, quando, dove e come abbiamo comunicato.
Il bene della vita che l’Autorità intende tutelare è quello della protezione dei dati personali in ambito giuslavoristico ed è proprio a tal fine che il documento indica un tempo di conservazione dei metadati degli account dei servizi di posta elettronica stringente, ovvero quello di 7 giorni, estensibili di 48 ore per comprovate esigenze.
Il Provvedimento nella argomentazione della propria analisi tiene conto anche delle indicazioni fornite con le precedenti nelle “Linee guida per posta elettronica e internet” del 2007, nonché con il provvedimento del 2016, “Trattamento di dati personali dei dipendenti mediante posta elettronica e altri strumenti di lavoro”.
L’importanza dei metadati per la sicurezza aziendale
Proviamo allora a capire quelle che possono essere viceversa le necessità dell’industria sia in termini di continuità operativa che in termini di sicurezza.
Partendo dalla continuità operativa è indubbio che il vero nodo del problema è quello della difficoltà operativa di separare i metadati dalle email, e pertanto la predetta misura rischia di creare ad Aziende e Pubbliche amministrazioni seri problemi, poiché in assenza dei metadati non è possibile indicizzare e ritrovare una mail, che può contenere informazioni e documenti necessari al patrimonio industriale o dell’Amministrazione.
Se è vero che la strada suggerita dal Garante nel predetto provvedimento per allungare il periodo di conservazione dei metadati, è quella indicata dall’art 4 comma 1 della l. 20 maggio 1970, n. 300, così come modificata dal Jobs Act, “Statuto dei lavoratori” , ovvero quello della previsione di un accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali, va rilevato che il caso dell’utilizzo delle e.mail aziendali dovrebbe rientrare nella eccezione prevista nel comma 2 del predetto articolo, ovvero della non applicabilità della disposizione per tutti gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa.
Il contesto normativo europeo sulla cybersicurezza
Inoltre considerando il secondo aspetto previamente indicato, ovvero quella della sicurezza, a parere di chi scrive va anche considerata la specifica tipologia di servizio che il titolare del trattamento, pubblico o privato eroga. Al riguardo vanno anche citate il complesso di norme tra cui la direttiva “NIS”:
i) che ha stabilito obblighi concernenti le capacità nazionali nel campo della cybersicurezza, che ha introdotto obblighi riguardanti le misure di sicurezza e le notifiche degli incidenti in tutti i settori che sono di vitale importanza per l’economia e la società, quali l’energia, i trasporti, fornitura e distribuzione di acqua potabile, i servizi bancari, le infrastrutture dei mercati finanziari, la sanità, le infrastrutture digitali e i fornitori di servizi digitali essenziali (motori di ricerca, servizi di cloud computing e mercati online;
ii) il Regolamento (UE) 2019/881, detto Cybersecurity Act, che ha rafforzato il ruolo dell’Agenzia dell’Unione europea per la cybersicurezza (ENISA) e definito un quadro UE per l’introduzione di sistemi europei di certificazione della cybersicurezza dei prodotti, dei servizi e dei processi;
iii) il decreto legge n. 105 del 2019, che definisce il perimetro di sicurezza nazionale cibernetica. Questo complesso groviglio di norme che mettono al primo piano la cyber sicurezza nazionale ed europea, presuppongono per obblighi di diligenza e di sicurezza una attenzione verso possibili cyber attacchi, che possono sfruttare tra l’altro anche le email, e che oltre a poter causare ingenti danni economici alle organizzazioni, possono mettere a rischio la privacy e l’integrità delle informazioni aziendali.
Conclusioni
Difatti in casi di potenziali attacchi che utilizzino anche il canale delle email, individuare l’origine del problema presuppone l’analisi delle stesse che andranno verificate in collegamento con i metadati a esse riferiti. Ben venga quindi l’avviso di consultazione pubblica sulla congruità del termine di conservazione dei metadati degli account dei servizi di posta elettronica dei lavoratori disposto dalla Autorità e il differimento di efficacia del documento di indirizzo, auspicandoci una valutazione più calzante alle diverse esigenze di conservazione dei metadati superiore a quella ipotizzata nel documento di indirizzo del 22 febbraio 2024.