È arrivato dal Garante per la privacy l’esito della consultazione pubblica che la stessa Autorità aveva aperto a distanza di poche settimane dalla pubblicazione del documento di indirizzo circa la conservazione dei metadati della posta elettronica, che tante discussioni aveva uscitato tra esperti di protezione dati e responsabili aziendali.

E le novità sono importanti. Vediamo cosa e come è cambiato.

Conservazione dei metadati: le novità

Con il provvedimento del 6 giugno 2024, n. 364 [doc. web n. 10026277], dunque, l’Autorità garante per la protezione dei dati personali torna sulla questione relativa al trattamento dei metadati di posta elettronica nel contesto lavorativo.

Le definizioni di “metadati”

Innanzitutto, rispetto alla versione precedente di cui abbiamo già detto qui, chiarisce meglio cosa sono i “metadati” e, di conseguenza, amplia il campo di applicazione, affermando come “non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate”; e tecnicamente si tratta di “informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni client (MUA = Mail User Agent)”.

In altri termini, i metadati includono: indirizzi e-mail di mittente e destinatario, indirizzi IP dei server o client coinvolti, orari di invio, ritrasmissione o ricezione, dimensione del messaggio, presenza e dimensione di eventuali allegati e, a volte, l’oggetto del messaggio.

Si tratta di dati registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla (manifestazione di) volontà dell’utente, e non vanno in alcun modo confusi con il contenuto del corpus del messaggio di testo/e-mail.

Non a caso il GPDP precisa dicendo che: “possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto”.

Metadati registrati automaticamente nei log dei servizi di posta

Poi, sempre il Garante spiega come questi metadati siano in grado di formare “il cosiddetto envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici”; e poi conclude dicendo come dette informazioni “ancorché corrispondenti a metadati registrati automaticamente nei log dei servizi di posta, sono inscindibili dal messaggio di cui fanno parte integrante e che rimane sotto l’esclusivo controllo dell’utente”.

In parole più semplici, le informazioni dell’envelope sono inseparabili dall’email di cui ne costituiscono parte integrante, ma rimangono sotto il controllo esclusivo dell’utente, sia esso il mittente o il destinatario dei messaggi.

Gli aspetti giuslavoristici e il controllo a distanza

Ancora, in materia giuslavoristica, circa l’applicabilità del comma II dell’art. 4 della L. n. 300/1970, la raccolta e conservazione dei metadati/log necessari per il funzionamento del sistema di posta elettronica è sì consentita ma per un periodo limitato a pochi giorni, e comunque non oltre i 21 giorni, salvo dimostrati casi particolari.

In pratica, comanda il contesto, il che consente di rispettare prima e applicare dopo, i vari principi generali del GDPR e in primis quello dell’accountability.
Da ultimo, circa la tematica del controllo a distanza, la generalizzata raccolta e conservazione dei log di posta elettronica per un periodo (più) esteso, può determinare un “indiretto controllo a distanza” dell’attività dei lavoratori, richiedendo perciò le garanzie previste dall’art. 4, comma I.

Conservazione dei metadati e la normativa in materia

La normativa in materia ovviamente non cambia, richiamando per l’effetto i seguenti documenti:

1. le “Linee guida del Garante per posta elettronica e Internet” del 1° marzo 2007, n. 13, doc. web n. 1387522; cfr., tra i tanti, il provvedimento del 4 dicembre 2019, n. 216, doc. web n. 9215890);
2. i principi fondanti del GDPR tra cui la liceità in termini di protezione dati (ex artt. 5, par. 1, lett. a), e 6 del GDPR), nonché la sussistenza dei presupposti di liceità giuslavoristici (ex art. 4 della l. 20 maggio 1970, n. 300) oltre al rispetto di quanto è fatto divieto al datore di lavoro di acquisire e comunque trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata (art. 8 della l. 20 maggio 1970, n. 300 e art. 10 d.lgs. 10 settembre 2003, n. 276, cui fa rinvio l’art. 113 del Codice). Ciò a maggiore garanzia di una delle condizioni di liceità del trattamento e la cui violazione determina, oltre all’applicazione di sanzioni amministrative pecuniarie ai sensi dell’art. 83, par. 5, lett. d) del GDPR, anche il possibile insorgere di responsabilità sul piano penale (cfr. art. 171 del Codice);
3. il rispetto da parte del titolare del trattamento di tutti principi generali (artt. 5, 24 e 25), ponendo in essere tutti quegli adempimenti previsti dalle disposizioni normative in materia di protezione dei dati personali (v. artt. 12, 13, 14, 30, 32 e 35 del GDPR);
4. in piena attuazione del principio di “accountability” è compito del titolare, scrive il Garante, “valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche – in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalità perseguite – che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali (cfr. cons. 90 e artt. 35 e 36 del Regolamento)”;
5. le linee guida concernenti “la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento”, WP 248 del 4 aprile 2017; cfr. cons. 75 e artt. 35 e 88, par. 2, del Regolamento; v. anche provv. 11 ottobre 2018, n. 467, doc. web n. 9058979, all. n. 1; v., tra gli altri, provv. 13 maggio 2021, n. 190, doc. web n. 9669974, par. 3.5, tenendo in debito conto delle indicazioni fornite anche a livello europeo sul punto, nella specie, in caso di raccolta e memorizzazione dei log della posta elettronica, considerata la particolare “vulnerabilità” degli interessati nel contesto lavorativo, nonché il rischio di “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti”.

La conservazione dei metadati in materia di controlli a distanza

Il documento di indirizzo rivisitato sul punto cruciale della conservazione dei metadati in materia di controlli a distanza, affinché sia ritenuto applicabile il comma II dell’art. 4 della Statuto dei lavoratori (L. n. 300/1970), si sbilancia dicendo che “tale conservazione non dovrebbe comunque superare i 21 giorni”, come anticipato.

Poi precisa che, dovendo assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, e quindi sempre nell’ambito della stessa finalità, l’eventuale data retention per un tempo ancora più ampio è possibile, ma solo in presenza di “particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente, in applicazione del principio di accountability, […] le specificità della realtà tecnica e organizzativa del titolare”.

Spetta al titolare, in caso di un’estensione ulteriore di 48 ore, “adottare tutte le misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati”.

In caso contrario, conclude il Garante, “la generalizzata raccolta nonchè la conservazione di tali metadati dei log di posta elettronica, per un lasso di tempo più esteso – ancorché sul presupposto della sua necessità per finalità di sicurezza informatica e tutela dell’integrità del patrimonio, anche informativo, del datore di lavoro –” si configura un indiretto controllo a distanza dell’attività dei lavoratori che richiede senza dubbio l’esperimento di quelle garanzie ex art. 4, comma I, dello Statuto dei Lavoratori.

Conservazione dei metadati e responsabilità dei datori di lavoro

Circa le possibili responsabilità, nel caso in cui i datori di lavoro, tanto del comparto pubblico quanto di quello privato, conservino oltremodo detti metadati, sono svariate profilandosi aspetti di illiceità del trattamento circa l’impiego di programmi/servizi di gestione della posta elettronica, in assenza delle garanzia (accordo sindacale), prima dell’avvio circa l’attività di “preventiva e sistematica raccolta dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti” nonché alla loro conservazione per un arco temporale più ampio e cioè superiore a 7 giorni pià 48 ore.

Profili di illiceità possono tuttavia derivare altresì, scrive il Garante “dall’utilizzo ulteriore dei dati personali, raccolti in assenza delle predette garanzie” (art. 4, comma III) evitando che per le finalità connesse alla gestione del rapporto di lavoro, siano utilizzati/trattati altri dati/informazioni senza fornire una “adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli” nel rispetto della privacy.

Per dunque concludere con l’affermazione a mente della quale “la generalizzata raccolta e la conservazione dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti, per un periodo di tempo esteso, in assenza di idonei presupposti giuridici, può, dunque comportare la possibilità per il datore di lavoro di acquisire, informazioni riferite alla sfera personale o alle opinioni dell’interessato e quindi non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore”.

La violazione del principio di correttezza e trasparenza

Il Garante richiama poi un principio (quasi scontato) secondo cui tutti i titolari del trattamento sono tenuti a “verificare che la raccolta e la conservazione dei log avvengano nel rispetto dei principi di correttezza e trasparenza nei confronti dei lavoratori e che i lavoratori siano stati adeguatamente informati sul trattamento dei dati personali relativi alle comunicazioni elettroniche che li riguardano”; dal momento che “è essenziale che gli interessati siano resi pienamente consapevoli delle complessive caratteristiche del trattamento (specificando i tempi di conservazione dei dati, gli eventuali controlli, ecc.)”.

Il principio della data retention

Sui tempi di conservazione dei metadati, richiamando quanto già sopra detto, non aggiunge molto di più anche rispetto al documento di indirizzo primigenio, se non sottolineare l’importanza/presenza delle finalità connesse alla sicurezza informativa e informatica, in considerazione della tutela del patrimonio annesso, rispondendo il tutto all’obiettivo principe che è quello di rilevare e mitigare eventuali incidenti di sicurezza, adottando tempestivamente le opportune contromisure.

I principi di privacy by design e by default

Innovativi e interessanti sono ancora le considerazione che il Garante fa in ordine alla privacy by design e by default relativamente alla questione in oggetto.

Nella fattispecie ritiene che il datore di lavoro/titolare del trattamento debba “accertarsi che siano disattivate le funzioni che non sono compatibili con le proprie finalità del trattamento o che si pongono in contrasto con specifiche norme di settore previste dall’ordinamento, specie in ambito lavorativo, ad esempio commisurando adeguatamente anche i tempi di conservazione dei dati ovvero chiedendo al fornitore del servizio di anonimizzare i metadati raccolti nei casi in cui non si intenda effettuare una conservazione più prolungata degli stessi”.

Prospettiva interessante, la stessa peraltro che si deve applicare ai “produttori dei servizi e delle applicazioni debbano tenere conto del diritto alla protezione dei dati conformemente allo stato dell’arte”.

Ne consegue dunque anche i fornitori devono contribuire a far sì che i titolari del trattamento possano adempiere ai loro obblighi di protezione dei dati, contemperando le esigenze di commercializzazione su larga scala dei propri prodotti con la conformità al GDPR.

In tale prospettiva, saranno i produttori dei servizi e delle applicazioni, in fase di sviluppo e progettazione degli stessi, a (dover) tenere conto del diritto alla protezione dei dati tenuto conto dello stato dell’arte. Ma sarà praticabile, davvero?

Possibili iniziative di compliance per tutti i datori di lavoro

I datori di lavoro pubblici e privati quindi dovranno adottare tutte le misure necessarie a conformare i propri trattamenti.

In particolare, spetterà al titolare del trattamento (datore di lavoro pubblico o privato) verificare con la dovuta diligenza che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service – consentano all’utente/cliente cioè datore di lavoro, di poter modificare le impostazioni di default, impedendo la raccolta dei metadati o limitandola, anche tenuto conto della previsione di cui al periodo di conservazione degli stessi ad un limite massimo di sette giorni, estensibile di ulteriori 48 ore, alle condizioni sopra indicate.

In ogni caso, le indicazioni contenute nel documento di indirizzo rinnovato all’esito della consultazione pubblica, scrive il Garante “devono considerarsi valide anche nel caso in cui, in ambito pubblico, i programmi e servizi informatici […] siano acquistati mediante le convenzioni/piattaforme che le pubbliche amministrazioni devono o possono utilizzare per l’acquisto di beni e servizi”. In pratica, valgono per tutti i datori di lavoro.

E nel cloud, occorre far riferimento specie con riferimento al settore pubblico, alle indicazioni contenute nel report “2022 Coordinated Enforcement Action Use of cloud-based services by the public sector” del Comitato europeo, come il primo documento di indirizzo già prevedeva.

Conclusioni

Concordemente a quanto L’avvocato Andrea Lisi scrive, la parte più interessante del documento ci pare essere proprio alla fine, laddove “con astuzia e coraggio il Garante sottolinea il ruolo dei provider di posta, che non sempre può essere considerato un semplice responsabile, prefigurando precise responsabilità in termini di privacy by design in capo a loro”.

Ma allora, specie nel contesto del cloud, chi è il vero titolare?