Il Documento di indirizzo del Garante per la protezione dei dati personali “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, adottato il 21 dicembre 2023 e pubblicato lo scorso febbraio, ha sollevato diversi dubbi interpretativi circa i criteri per determinare il periodo di conservazione dei metadati generati dall’uso della posta elettronica nell’ambito lavorativo.
Al fine di raccogliere le perplessità e le proposte delle parti coinvolte e degli esperti del settore, l’Autorità ha così avviato una procedura di consultazione pubblica che si è conclusa il 6 giugno 2024 con la pubblicazione di una versione aggiornata del documento di indirizzo. (Provvedimento del 6 giugno 2024 - Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati [10026277])
Con la versione definitiva del documento, l’Autorità è intervenuta in due direzioni:
- Chiarire l’ambito oggettivo di applicazione del documento di indirizzo, definendo più puntualmente il concetto di metadato;
- Indicare i criteri che possono orientare le scelte dei datori di lavoro nell’individuazione del periodo di conservazione dei metadati per evitare di ricorrere all’accordo sindacale.
A quali metadati si riferisce il provvedimento
La funzione principale della consultazione pubblica è stata quella di chiarire che a dover essere eliminate non sono le informazioni contenute nel corpo del messaggio o in esso necessariamente integrate che formano il cosiddetto envelope (la busta), ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del massaggio, la sua provenienza e altri parametri tecnici.
Le informazioni contenute nell’envelope sono inscindibili dal messaggio di cui fanno parte integrante e rimangono sotto l’esclusivo controllo dell’utente (sia esso il mittente o il destinatario dei messaggi) all’interno della sua casella di posta e sono sottoposte agli ordinari termini di data retention stabiliti in accountability dal titolare.
I metadati oggetto del documento di indirizzo invece corrispondono tecnicamente alle informazioni registrate nei log che servono esclusivamente a garantire l’invio e la ricezione della posta elettronica, e che sono generati:
- dai sistemi server di gestione e smistamento della posta elettronica (MTA: Mail Transport Agent)
- dalle postazioni terminali che effettuano l’invio dei messaggi e che consentono la consultazione della corrispondenza in entrata accedendo alle mailbox elettroniche (MUA – Mail User Agent).
Tali informazioni possono comprendere gli indirizzi e-mail del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’istradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione degli eventuali allegati e in certi casi, l’oggetto del messaggio spedito o ricevuto.
A ben vedere, però, i metadati registrati automaticamente nei log di servizi di posta – oggetto del provvedimento – corrispondono effettivamente ai contenuti nell’envelope (talvolta non immediatamente visibili agli utenti dei software “client” di posta elettronica). Si tratta, nella sostanza, delle medesime informazioni: si può dire che ne rappresentino una copia.
Da qui erano sorti i dubbi interpretativi legati al timore che il provvedimento richiedesse, in pratica, la cancellazione dei contenuti delle e-mail.
In realtà, il documento di indirizzo del Garante riguarda solo i metadati che non hanno altra funzione che quella di consentire il recapito e l’invio dei messaggi di posta elettonica, pur trattandosi dei medesimi dati contenuti nell’envelope, ma che a differenza di questi ultimi (di cui sono effettivamente un duplicato) non risiedono all’interno della busta.
La ratio del provvedimento risiede nel fatto che mentre della presenza delle informazioni contenute nel corpo del messaggio o in esso integrate il titolare è consapevole, i metadati oggetto del documento di indirizzo vengono registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utilizzatore.
Questa inconsapevolezza può causare una mancata gestione sotto il profilo delle politiche di conservazione delle informazioni tecniche generate dai log che consentono invio e ricezione delle e-mail: se l’esistenza di questi metadati non viene dai titolari presa in considerazione, perché non percepita, gli stessi rischiano di non essere assoggettati a policy di data retention e di rimanere conservati a tempo illimitato.
La corrispondenza tra le finalità ed il periodo di conservazione
Un elemento centrale all’interno del documento è costituito dalla finalità del trattamento, quale presupposto per individuare un corretto periodo di conservazione del dato.
Chiarire le finalità del trattamento perseguite e, quindi, individuare tempi di conservazione dei dati proporzionati per ciascuna finalità è un metodo per scongiurare trattamenti illeciti come il controllo della prestazione lavorativa eseguita dal lavoratore.
La preoccupazione del Garante sembra, infatti, riguardare una generalizzata raccolta e conservazione dei log di posta elettronica che possono comportare un indiretto controllo a distanza dell’attività dei lavoratori, vietato dalla disciplina giuslavoristica.
Per questa ragione, l’Autorità ribadisce più volte nel documento che la finalità della conservazione dei metadati oggetto del provvedimento è assicurare il corretto funzionamento e il regolare utilizzo delle infrastrutture del sistema di posta elettronica comprese le essenziali garanzie di sicurezza informatica, in rapporto con la disciplina giuslavoristica relativa agli strumenti utilizzati per rendere la prestazione lavorativa.
Nello specifico, per non dover ricorrere all’accordo sindacale previsto dall’art. 4 dello Statuto dei Lavoratori, il Garante privacy chiarisce che:
- l’attività di raccolta e conservazione dei metadati può essere effettuata di norma, per un periodo limitato che non dovrebbe superare 21 giorni;
- se, in presenza di particolari condizioni, tali 21 giorni non risultano sufficienti ad assicurare il funzionamento del sistema di posta elettronica, in accountability, può essere individuato un tempo di conservazione più lungo motivando le ragioni che, per le specificità della realtà tecnica e organizzativa del titolare, rendono necessaria l’estensione del termine.
Il rapporto con il provider
Il datore di lavoro, quale titolare del trattamento, anche quando utilizza prodotti o servizi realizzati da terzi, ha l’onere di verificare la conformità ai principi del GDPR, adottando in accountability idonee misure di sicurezza e impartendo le necessarie istruzioni al fornitore del servizio.
Nella gestione del servizio di posta elettronica, soprattutto se ci si serve di servizi in cloud o as-a-service, ciò si traduce:
- nell’accertare che siano disattivate le funzioni che non sono compatibili con le proprie finalità del trattamento;
- nel commisurare adeguatamente i tempi di conservazione dei dati nel pieno rispetto delle norme di settore applicabili;
- se del caso, nel chiedere al provider di anonimizzare i metadati raccolti quando non si intenda conservarli per un periodo di tempo più esteso.
In quest’ottica, è certamente imprescindibile il ruolo e la collaborazione del provider che fin dalla progettazione del servizio e per impostazione predefinita dovrebbe realizzare un servizio che consenta concretamente di rispettare le disposizioni del GDPR.
Da qui, l’invito esplicito del Garante privacy rivolto ai fornitori di servizi cloud affinché essi contribuiscano a fare in modo che i titolari del trattamento possano adempiere ai loro obblighi in materia di protezione dei dati. I fornitori, in particolare, dovrebbero contemperare le esigenze di commercializzazione su larga scala dei propri prodotti con la conformità al GDPR, trattando i dati personali per conto di ciascun titolare del trattamento e sulla base delle istruzioni da questo ricevute.
Cosa fare
In conclusione, il documento del Garante privacy circoscrive la sua applicazione ai soli metadati che servono a garantire l’invio e la ricezione dei messaggi di posta elettronica in uso ai lavoratori nell’ottica di evitare l’obbligo di ricorrere all’accordo sindacale, potendosi considerare la casella e-mail quale strumento utilizzato per rendere la prestazione lavorativa.
Ciò implica, in concreto, una rivalutazione dei tempi di data retention dei metadati di cui sopra (da limitare ove possibile a 21 giorni) e di conseguenza:
- l’implementazione di soluzioni tecniche che cancellino i metadati allo scadere del termine di conservazione;
- l’aggiornamento del registro delle attività di trattamento con l’indicazione dei nuovi termini di cancellazione;
- la revisione delle informative sulla privacy rivolte ai lavoratori con l’indicazione del periodo di conservazione.
In ottica generale, dal documento del Garante possiamo trarre un messaggio più ampio ovvero l’invito rivolto ai titolari a fare una riflessione sul rapporto tra finalità del trattamento e rispettiva conservazione dei dati e, quindi, una revisione dei criteri di data retention per tutti i trattamenti effettuati.