Una cosa è certa: l’argomento “metadati” e la loro esistenza non sono una “breaking news” dell’ultima ora. Da quando l’Autorità Garante per la protezione dei dati personali, in linea con il suo compito di promuovere la consapevolezza del diritto alla protezione dei dati personali, ha voluto porre l’attenzione sul tema (cfr. Provvedimento del 6 giugno 2024, Doc. Web 10026277), la questione è diventata attuale e prioritaria per molti titolari, che si interrogano sugli adempimenti da intraprendere al riguardo.
Indice degli argomenti
L’intervento del Garante e le sue implicazioni
Gli addetti ai lavori si ricordano bene l’inizio del mese di febbraio 2024 quando, con la newsletter n. 517 del 6 febbraio 2024[1], il Garante ha reso noto di aver adottato, con provvedimento n. 642 del 21 dicembre 2023[2], un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati.
Documento questo che, nella sostanza, chiedeva ai datori di lavoro (titolari del trattamento) di porre in essere una serie di adempimenti.
Gli obblighi per i datori di lavoro
Da un lato, infatti, si chiedeva di verificare “che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente in caso di prodotti di mercato forniti in cloud o as-a-service – consentano al cliente (datore di lavoro) di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di sette giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore” (periodo considerato congruo, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore).
Procedura di garanzia e controllo a distanza
Dall’altro, si chiedeva di espletare le procedure di garanzia previste dall’art. 4 dello Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro) nel caso in cui i datori stessi avessero – per esigenze organizzative e produttive o di tutela del patrimonio anche informativo – “necessità di trattare i metadati per un periodo di tempo più esteso”.
Secondo l’Autorità, infatti, l’estensione del periodo di conservazione oltre l’arco temporale fissato dal documento di indirizzo può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore. Ed è questo un punto fondamentale su cui occorre soffermarsi: il provvedimento, infatti, nella sua ratio mira alla protezione del lavoratore ponendo maggiori tutele per le e-mail dei dipendenti.
Attenzione però: seguire le indicazioni del Garante (perché sono raccomandazioni quelle previste nel suo documento di indirizzo) non è stato molto agevole in quanto le stesse non sembravano tener conto della forza contrattuale dei fornitori dei servizi cloud che – il più delle volte – erogano questi servizi alle aziende.
Cosa fare? Così come per la Formula 1, torniamo ai box per un momento.
Consultazione pubblica e nuove direttive
A seguito di tale provvedimento e, in particolare, proprio nelle settimane successive, sono pervenute specifiche richieste di chiarimenti al Garante con particolare riferimento ai tempi di conservazione dei metadati generati o raccolti nell’ambito dei sistemi di posta elettronica utilizzati nel contesto lavorativo.
Per poter rispondere alle numerose richieste di chiarimenti ricevute, l’Autorità ha dunque deciso di differire l’efficacia del documento di indirizzo emanato nel dicembre 2023 e promuovere, con provvedimento n. 127 del 22 febbraio 2024[3], una consultazione pubblica di 30 giorni sulle forme e modalità di utilizzo che renderebbero necessaria una conservazione dei metadati superiore a quella ipotizzata nel documento di indirizzo.
Ciò in quanto l’obiettivo del Garante, come indicato nello stesso provvedimento, era quello di “acquisire osservazioni e proposte in merito alla congruità, in relazione alle finalità perseguite dai datori di lavori pubblici e privati, del termine di conservazione dei metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica e relativi alle operazioni di invio, ricezione e smistamento dei messaggi di posta elettronica (che possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei computer coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione e di ricezione, la dimensione del messaggio, la presenza e la dimensione degli eventuali allegati, in certi casi anche l’oggetto del messaggio spedito o ricevuto) e, più in generale alle forme e modalità di utilizzo di tali metadati che ne renderebbero necessaria una conservazione superiore a quella ipotizzata nel citato documento di indirizzo”.
Modifiche al documento di indirizzo
La consultazione pubblica avviata ha consentito al Garante di analizzare e prendere in considerazione tutte le osservazioni e le proposte pervenute dai datori di lavoro o dai fornitori dei servizi in cloud al fine di poter maggiormente plasmare – con alcune modifiche – il contenuto del documento di indirizzo, giungendo nel giugno 2024 ad una nuova stesura del testo, emanato con provvedimento n. 364 del 6 giugno 2024[4] (di seguito anche “documento di indirizzo”).
Ed infatti, nella nuova versione del documento di indirizzo, risulta abbastanza evidente come l’esame delle richieste da parte dell’Autorità abbia – comunque – portato la stessa ad estendere il termine di conservazione dei metadati, a titolo orientativo, fino a 21 giorni[5], tempo decorso il quale si devono attivare ulteriori forme di garanzia e tutela.
Sostanzialmente dal termine inziale di 9 giorni previsto nel documento del dicembre 2023 (ossia 7 giorni, prorogabili di ulteriore 48 ore in caso di comprovate necessità) si è passati al periodo di 21 giorni.
E adesso che cosa bisogna fare?
Il quadro normativo nazionale
Quando si parla di metadati e posta elettronica nel contesto lavorativo, oltre ad entrare in un campo molto delicato, occorre ricordarsi che sono diverse le normative che il datore di lavoro deve tenere in considerazione: dallo Statuto dei Lavoratori, alle norme in materia di protezione dei dati personali, per non dimenticare gli orientamenti giurisprudenziali della Corte di Cassazione o i provvedimenti emessi dall’Autorità Garante.
Infatti, secondo l’interpretazione consolidata del Garante, la e-mail del lavoratore rientra nella sfera di protezione della vita privata del lavoratore: già le Linee guida del Garante per posta elettronica e internet (doc. web. 1387522) del marzo 2007[6], in materia di posta elettronica, prevedono che “Il contenuto dei messaggi di posta elettronica – come pure i dati esteriori delle comunicazioni e i file allegati – riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali; un´ulteriore protezione deriva dalle norme penali a tutela dell´inviolabilità dei segreti (artt. 2 e 15 Cost.; Corte cost. 17 luglio 1998, n. 281 e 11 marzo 1993, n. 81; art. 616, quarto comma, c.p.; art. 49 Codice dell’amministrazione digitale)”.
Inoltre l’art. 4, 1 comma, della Legge n. 300/1970, in materia di “impianti audiovisivi e strumenti di controllo”, prevede come gli strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, dunque al di fuori dell’ambito di applicazione del comma 2 del menzionato articolo, possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali.
In sostanza, in tale ambito, il filo diretto tra diritto alla privacy e diritto del lavoro viene sancito dall’art. 114 (Garanzie in materia di controllo a distanza). del Codice Privacy che prevede:“1. Resta fermo quanto disposto dall’articolo 4 della legge 20 maggio 1970, n. 300.”
Quanto detto trova pienamente conferma nello stesso documento di indirizzo emanato dal Garante.
L’analisi del documento di indirizzo
Innanzitutto, come chiarito dal Garante, i metadati cui fa riferimento il documento di indirizzo “[…] corrispondono tecnicamente alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client (le postazioni terminali che effettuano l’invio dei messaggi e che consentono la consultazione della corrispondenza in entrata accedendo ai mailbox elettroniche, definite negli standard tecnici quali MUA – Mail User Agent). […]”. L’Autorità specifica come tali metadati non debbano essere “[…] in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate – ancorché talvolta non immediatamente visibili agli utenti dei software “client” di posta elettronica (i cosiddetti MUA – Mail User Agent) – a formare il cosiddetto envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici. […]”.
Inoltre, è bene evidenziare sin da subito che, sebbene il documento di indirizzo sia rivolto ai datori di lavoro pubblici e privati, lo stesso sottolinea l’importanza che l’attuazione di quanto indicato non possa ricadere soltanto sugli stessi ma, anzi, ognuno deve fare la sua parte. Infatti, sui fornitori dei servizi di posta elettronica viene così detto: “Anche i fornitori, pertanto, devono contribuire a far sì che i titolari del trattamento possano adempiere ai loro obblighi di protezione dei dati, contemperando le esigenze di commercializzazione su larga scala dei propri prodotti con la conformità degli stessi ai principi del Regolamento, anche nella prospettiva di migliorare il prodotto offerto, sotto il profilo della sua maggiore conformità al Regolamento”. In tal senso appare utile richiamare il considerando 78 del Reg. UE n. 2016/679 il quale così sancisce: “[…] In fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell’arte, a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati. […]”. In sostanza anche i fornitori devono fare la loro “parte” e non posso esimersi dal collaborare con il Titolare del trattamento nel rispetto delle indicazioni impartite dal Garante.
Precisato questo aspetto, non di poco conto, e proprio perché l’argomento è molto complesso, è bene evidenziare i punti salienti del documento. Le principali domande da porsi sono: il datore di lavoro riesce a rispettare il tempo di conservazione di 21 giorni? Se la conservazione avviene per un periodo superiore, cosa bisogna fare?
Scenari di conservazione dei metadati
A parere di chi scrive, il documento di indirizzo apre la porta a 3 diversi scenari:
Il primo scenario prevede che i metadati (che risultino indispensabili per assicurare il necessario funzionamento delle infrastrutture del sistema di posta elettronica) vengano conservati entro un limite massimo di 21 giorni, senza vincoli. In questo caso si rientrerebbe nella definizione di “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”, di cui all’art. 4 comma 2 dello Statuto dei lavoratori, che ne autorizza l’utilizzo senza vincoli: basterà un semplice esercizio di accountability di giustificazione del tempo di conservazione (entro i 21 giorni) – quindi senza necessità di svolgere una DPIA.
Il secondo scenario prevede come i metadati possano essere conservati oltre 21 giorni, ma solo in presenza di determinate condizioni “che ne rendano necessaria l’estensione”. In questo caso, per ricadere sempre nell’art, 4, comma 2, dello Statuto dei lavoratori (strumento utilizzato dal lavoratore per rendere la prestazione lavorativa) il Titolare deve soddisfare tutte le seguenti condizioni, dandone prova scritta in base al principio di accountability: i) verificare che il limite di tempo, superiore ai 21 gg, risulti indispensabile per assicurare, come unica finalità, il funzionamento delle infrastrutture del sistema della posta elettronica; ii) comprovare adeguatamente le specificità della realtà tecnica e organizzativa che richiede l’estensione del limite di 21 giorni, sotto il quale sarebbe pregiudicata la funzionalità del sistema di posta elettronica; iii) adottare tutte le misure tecniche ed organizzative per assicurare: (1) il rispetto del principio di limitazione della finalità; (2) l’accessibilità selettiva da parte dei soli soggetti autorizzati; (3) la loro adeguata istruzione; (4) la tracciatura degli accessi effettuati.
Il terzo scenario, infine che prevede come i metadati vengano conservati in modo generalizzato oltre 21 giorni, senza dunque “alcuna regola”. La conservazione dei metadati di posta elettronica per un lasso di tempo più esteso rispetti a quelli identificati negli scenari precedenti, non essendo strettamente indispensabile per assicurare il necessario funzionamento delle infrastrutture del sistema di posta elettronica, fa ricadere il caso nell’art. 4, comma 1, dello Statuto dei lavoratori, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori. In questo caso, la conservazione dei metadati è consentita esclusivamente se vengono rispettate tutte le seguenti condizioni: i) la conservazione estesa dei metadati può avvenire esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale; ii) la conservazione dei metadati dovrà comunque avvenire nel rispetto del principio di limitazione della conservazione; iii) è necessario ottenere l’accordo sindacale.
Pertanto, proprio per non incorrere in errore, è compito del datore di lavoro verificare sin da subito che i sistemi di gestione della posta elettronica nel contesto lavorativo consentano di rispettare quanto indicato nel documento di indirizzo, soprattutto con riguardo al periodo di conservazione dei metadati.
Va anche detto che, purtroppo, molti dei principali fornitori internazionali di servizi di posta elettronica non permettono al titolare di determinare i tempi di conservazione dei metadati, che sono conservati spesso per periodi ben più lunghi dei 21 giorni stabiliti dal Garante (in alcuni casi fino a 90 giorni o addirittura a 6 mesi). In questi casi, in sostanza, spetterà al titolare decidere se si rientra nel secondo o nel terzo scenario, in un esercizio di accountability che porterà con sé diverse conseguenze giuridiche di compliance.
Errori da evitare e considerazioni finali
Quanto detto, consente a ciascuna organizzazione di eseguire le più opportune considerazioni, dato che è la stessa, nella sua qualità di Titolare del trattamento, che deve rispettare la disciplina in materia di protezione dei dati personali ed evitare di sbagliare sin dall’inizio. Tale valutazione dovrà essere effettuata caso per caso anche in ragione delle specificità del contesto del trattamento, quali, ad esempio, la dimensione del titolare, il numero dei dipendenti, il settore di riferimento, il sistema di gestione della posta elettronica, le finalità perseguite e la ricorrenza di specifiche situazioni di criticità.
Veniamo ad alcune riflessioni per non commettere errori quali, ad esempio:
- i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti sono effettuati internamente dal datore di lavoro oppure esternalizzati a soggetti terzi?
- Nel caso in cui i sistemi siano erogati da soggetti terzi, il datore di lavoro ha interrogato gli stessi in merito al periodo di conservazione dei metadati?
- Sono stati informati gli interessati circa il trattamento?
- È stata valutata la necessità o meno di effettuare la DPIA? Si ricorda che è compito del Titolare del trattamento eseguire la stessa sul trattamento di propria competenza.
- Una volta verificato il tempo di conservazione dei metadati, è stata valutata l’applicazione del comma 1 o del comma 2 dell’art. 4 dello Statuto dei Lavoratori?
- Nel caso di fornitori esterni che erogano i servizi di gestione della posta elettronica, il titolare ha verificato il ruolo privacy dello stesso?
- È stato aggiornato il registro delle attività di trattamento?
In conclusione, a parere di chi scrive, è opportuno che i datori di lavoro effettuino le dovute verifiche del caso, anche in considerazione del fatto che la materia non è di facile comprensione ed attuarla potrebbe risultare non immediato, anche in virtù del coinvolgimento di fornitori estranei alle aziende che possono inevitabilmente aumentare i tempi di implementazione delle scelte del Titolare del trattamento.
Note
[1] Newsletter del 6 febbraio 2024 – Intercettazioni: Garante, più tutele… – Garante Privacy
[2] Provvedimento del 21 dicembre 2023 – Documento di indirizzo “Programmi e… – Garante Privacy
[3] Provvedimento del 22 febbraio 2024 [9987885] – Garante Privacy
[4] Provvedimento del 6 giugno 2024 – Documento di indirizzo. Programmi e… – Garante Privacy
[5] “[…] Alla luce delle disposizioni richiamate, affinché sia ritenuto applicabile il comma 2 dell’art. 4 della L. n. 300/1970, l’attività di raccolta e conservazione dei soli metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione, si ritiene che possa essere effettuata, di norma, per un periodo limitato a pochi giorni; a titolo orientativo, tale conservazione non dovrebbe comunque superare i 21 giorni. […]”
[6] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/1387522
