L’Autorità Garante per la protezione dei dati personali ha recentemente messo a disposizione sul suo sito web istituzionale un nuovo provvedimento in materia di programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati.
Il provvedimento si è proposto di finalizzare il precedente provvedimento del 21 dicembre scorso, che è stato da più parti criticato, tanto da portare l’Authority a indire un’utile consultazione pubblica per analizzare meglio la natura del documento e i suoi contenuti più o meno impositivi.
Il nuovo documento del Garante chiarisce
Iniziamo subito col riferire che molti punti “oscuri” del precedente documento di indirizzo sono stati chiariti e oggi il (nuovo) documento assume un’utilità orientativa nel dipanare questioni che riguardano il nebuloso rapporto tra protezione dei dati e diritto del lavoro.
Occorre subito osservare che, a una prima frettolosa lettura, potrebbe generare più di qualche perplessità proprio la confermata natura (a mio avviso, necessariamente) orientativa del documento e, quindi, “stante la natura orientativa del documento di indirizzo, dallo stesso non discendono nuovi adempimenti o responsabilità”.
In particolare, si legge giustamente nel documento che, proprio perché di indirizzo e avente natura orientativa, esso “non reca prescrizioni né introduce nuovi adempimenti a carico dei titolari del trattamento, ma intende offrire una ricostruzione sistematica delle disposizioni applicabili in tale specifico ambito, alla luce di talune precedenti decisioni dell’Autorità, al solo fine di richiamare l’attenzione su alcuni punti di intersezione tra la disciplina di protezione dei dati e le norme che stabiliscono le condizioni per l’impiego degli strumenti tecnologici nei luoghi di lavoro”.
Una lettura più attenta, invece, ribalta questa prima sensazione, perché il documento del Garante, muovendosi in un ambito piuttosto delicato, dimostra di essere più che sensato e pienamente in linea con il principio di accountability e non si può non riferire (con un pizzico di soddisfazione) che l’Autorità Garante ha ritenuto di accogliere tutti i suggerimenti inoltrati all’attenzione dell’Authority dall’associazione Anorc.
L’attuale documento, quindi, persegue quella finalità di utile orientamento e corretta informazione, che è propria dell’attività istituzionale dell’Autorità Garante, pur se non reca in sé prescrizioni né introduce nuovi adempimenti a carico dei titolari del trattamento.
Pertanto, se ne consiglia vivamente l’attenta lettura a tutti i responsabili della protezione dei dati o comunque i professionisti della materia perché esso contiene oggi tutti gli ingredienti per poter orientare opportunamente i datori di lavoro, titolari del trattamento, sugli adempimenti da porre in essere con indipendenza e autonomia; ovviamente, questo non significa per i titolari poter agire in piena libertà e senza alcuna attenzione sui passi da porre in essere nella gestione di strumenti delicati, come le comunicazioni e-mail, le quali potenzialmente possono consentire controlli a distanza da parte dei datori di lavoro, ma documentare piuttosto scelte responsabili in piena “compliance” con la normativa.
I chiarimenti sulle mail dei dipendenti
Prima di tutto, il documento chiarisce bene l’oggetto a cui si riferisce: “gli stessi metadati come qui intesi non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate – ancorché talvolta non immediatamente visibili agli utenti dei software “client” di posta elettronica (i cosiddetti MUA – Mail User Agent) – a formare il cosiddetto envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici”.
Inoltre, nel documento viene correttamente precisato che il periodo di conservazione dei metadati consigliato nello stesso, ampliato a 21 giorni, a fronte del termine massimo di 9 giorni previsto nella prima versione del provvedimento, vada valutato nel proprio specifico contesto, applicando i vari princìpi generali del GDPR che vengono puntualmente ricordati e concretizzati in questo ambito. Ovviamente grande rilevanza viene accordata ai principi di trasparenza, di data retention commisurata al conseguimento delle finalità per cui i dati sono trattati e di privacy by design e privacy by default.
Il ruolo dei fornitori
Ed è proprio in relazione all’applicazione dell’art. 25 del GDPR, in questo specifico contesto, dove ormai sono le soluzioni in cloud come sappiamo a farla da padrona, che il documento a mio avviso si rivela particolarmente interessante, laddove, nella sua parte finale, il Garante con astuzia e coraggio fa sottintendere che i provider di posta non sempre possono essere considerati alla stregua di semplici responsabili del trattamento dei dati personali, prefigurando per tali soggetti del mercato precise responsabilità in termini proprio di “privacy by design”.
In particolare, il Garante precisa che “i fornitori (ndr. dei servizi e delle applicazioni di posta elettronica), pertanto, devono contribuire a far sì che i titolari del trattamento possano adempiere ai loro obblighi di protezione dei dati, contemperando le esigenze di commercializzazione su larga scala dei propri prodotti con la conformità degli stessi ai principi del Regolamento, anche nella prospettiva di migliorare il prodotto offerto, sotto il profilo della sua maggiore conformità al Regolamento”. Per poi proseguire specificando che “spetta al titolare del trattamento verificare che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service – consentano al cliente (datore di lavoro) di rispettare la disciplina di protezione dei dati nei termini indicati nel presente documento di indirizzo, anche con riguardo al periodo di conservazione dei metadati”.
Il titolare nel cloud
Chi è questo titolare del trattamento a cui si riferisce il Garante nel suo documento nel contesto del cloud e dei soluzioni informatiche as a service?
Non sembrerebbero esserci dubbi che sia proprio il fornitore di tali soluzioni ad essere potenzialmente qualificabile come titolare autonomo proprio in quei contesti – ormai piuttosto comuni – dove la sinallagmaticità contrattuale è messa fortemente e sistematicamente in chiara contraddizione a causa dello squilibrio dei poteri economici in gioco.
E quindi dovrà essere il provider prima di tutto a interessarsi di progettare soluzioni che consentano ai datori di lavoro di poter proattivamente porre in essere adeguate misure tecniche e organizzative finalizzate a garantire il pieno rispetto della disciplina in materia di protezione dei dati e di quella di settore eventualmente applicabile.
Ci sarà senz’altro molto lavoro da fare in tal senso per passare dalla teoria alla pratica.