Posta elettronica dei dipendenti, metadati e il Documento di indirizzo del Garante Privacy: il punto della situazione
Premessa
Il 6 febbraio, il Garante per la protezione dei dati personali (“Garante” o “Autorità”) ha pubblicato un documento di indirizzo (“Documento di Indirizzo”) in cui ha stabilito che i metadati delle comunicazioni di posta elettronica dei dipendenti possono essere conservati dai datori di lavoro (pubblici e privati), al più tardi, per 7 giorni, prorogabili di ulteriori 48 ore in caso di comprovate esigenze.
Il Documento di Indirizzo ha dato vita a numerose richieste di chiarimenti, a fronte delle quali il Garante ha deciso, il 27 febbraio, di avviare una consultazione pubblica e di sospendere l’efficacia del Documento di Indirizzo.
La consultazione si è poi aperta il 16 marzo con la pubblicazione dell’avviso in Gazzetta Ufficiale (serie generale, n. 64) e terminerà il 15 aprile.
Con questo breve focus, ripercorreremo le tappe che hanno portato alla pubblicazione di questo Documento di Indirizzo, fornendo qualche spunto di riflessione anche alla luce degli orientamenti giurisprudenziali in tema di log nonché alla luce degli ultimi provvedimenti del Garante sui metadati.
Come partecipare alla consultazione
Per partecipare alla consultazione, è possibile inviare osservazioni e proposte a mezzo posta cartacea (indirizzate alla sede di piazza Venezia n. 11 – 00187 Roma) oppure a mezzo e-mail o pec (all’indirizzo di posta elettronica protocollo@gpdp.it o di posta elettronica certificata protocollo@pec.gpdp.it) indicando nell’oggetto «Consultazione sul termine di conservazione dei metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica».
Il Garante ha già precisato che i contributi che perverranno non lo vincoleranno in alcun modo.
Il Documento di Indirizzo sui metadati
Il Documento di Indirizzo è stato adottato a seguito di numerosi accertamenti condotti con riguardo ai trattamenti di dati personali effettuati nel contesto lavorativo, all’esito dei quali è emerso che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possono raccogliere, per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email), conservando gli stessi per un esteso arco temporale.
In questi scenari, il datore di lavoro va incontro, talvolta, all’impossibilità di modificare le impostazioni di base del programma informatico per disabilitare la raccolta sistematica di tali dati o ridurre il periodo di conservazione degli stessi.
L’Autorità, nel Documento di Indirizzo, ha anzitutto ricordato che:
- il contenuto dei messaggi di posta elettronica – come pure i dati esteriori delle comunicazioni e i file allegati – riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente;
- è necessario che il datore di lavoro verifichi sempre la sussistenza di un idoneo presupposto di liceità prima di effettuare trattamenti di dati personali dei lavoratori attraverso tali programmi e servizi, evitando di raccogliere informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata;
- in osservanza ai principi sopra esposti, l’attività di raccolta deve avere ad oggetto i soli c.d. metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, e gli stessi dovranno essere conservati per un tempo che non può essere superiore di norma a poche ore o ad alcuni giorni, in ogni caso non oltre 7 giorni, estendibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore. Diversamente, la generalizzata raccolta e la conservazione di tali metadati, per un lasso di tempo più esteso, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della l. n. 300/1970 (accordo sindacale o l’autorizzazione dell’Ispettorato del lavoro), oltre al rispetto degli altri adempimenti, tra i quali informare in modo corretto e trasparente i dipendenti, valutare la necessità di una valutazione di impatto sulla protezione dei dati personali.
Con tale provvedimento, il Garante Privacy si è quindi rivolto ai datori di lavoro pubblici e privati, invitandoli a operare una ricognizione dei programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti. Un invito implicito sembra potersi leggere anche nei confronti dei fornitori di tali sistemi, laddove si richiama la pratica di questi fornitori di non rendere possibile disabilitare la raccolta sistematica di tali dati o ridurne il periodo di conservazione.
Ma cosa si intende per metadati?
Mentre nel Documento di Indirizzo il Garante non fornisce una definizione chiara di metadati, limitandosi a farne un elenco esemplificativo (“ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email”), nel successivo provvedimento di avvio della consultazione fornisce qualche elemento in più per chiarire cosa costituisca un metadato.
In questa sede, infatti, il Garante si è riferito ai metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica e relativi alle operazioni di invio, ricezione e smistamento dei messaggi di posta elettronica. I metadati così intesi possono comprendere gli indirizzi e-mail del mittente e del destinatario, gli indirizzi IP dei server o dei computer coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione e di ricezione, la dimensione del messaggio, la presenza e la dimensione degli eventuali allegati, in certi casi anche l’oggetto del messaggio spedito o ricevuto.
La posizione del Garante sui metadati: i precedenti
Già in altre occasioni, rispettivamente nel 2016 e nel 2022, il Garante aveva affrontato la tematica dei metadati connessi all’utilizzo della posta elettronica.
Nel primo caso (provv. n. 303 del 13 luglio 2016), era emerso che un’Università raccoglieva e conservava (inizialmente per 5 anni, poi nel corso dell’istruttoria il titolare aveva dichiarato di voler ridurre la tempistica a 1 anno) i file di log relativi al traffico internet e alle informazioni relative all’utilizzo della posta elettronica e alle connessioni di rete.
Il secondo caso (provv. n. 409 del 1° dicembre 2022) ha visto coinvolta sempre una pubblica amministrazione (più nello specifico, una Regione), che raccoglieva e conservava per 180 giorni i metadati relativi ad orari, destinatari, oggetto delle comunicazioni e peso degli allegati. In questo caso, era stato il sindacato a lamentare un monitoraggio sulla posta elettronica del personale in servizio presso gli uffici dell’avvocatura regionale. Nel corso dell’istruttoria, la Regione aveva rappresentato di non aver mai indicato al provider (che si occupava del sistema informativo) per quanto tempo conservare i metadati. Era stato quindi arbitrariamente il provider stesso (in qualità di responsabile del trattamento) a sostituirsi alla Regione (titolare del trattamento) nella definizione di tale tempistica.
Il Garante, in entrambi i provvedimenti, ha seguito lo stesso percorso logico ritenendo che la raccolta ampia e la conservazione prolungata dei metadati delle e-mail, considerate forme di corrispondenza tutelate costituzionalmente, non sono giustificate come necessarie per il normale svolgimento del lavoro dipendente.
Per l’Autorità è stato ritenuto congruo un tempo di conservazione di tali metadati per 7 giorni al fine di assicurare il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica.
Una conservazione più ampia, sostanzialmente, ad avviso del Garante, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, comporta per i datori di lavoro la necessità di adottare le procedure di garanzia previste dallo Statuto dei Lavoratori, quali la sottoscrizione dell’accordo sindacale o la richiesta di autorizzazione da parte dell’Ispettorato del lavoro.
Nel primo provvedimento del 2016, il Garante ha semplicemente vietato all’Università di utilizzare i dati fin a quel momento raccolti; nel secondo, invece, quello del 2022, oltre a vietare il trattamento dei metadati relativi all’utilizzo della posta elettronica (conservati per più di 7 giorni dalla loro raccolta) ha anche inflitto una sanzione pecuniaria pari a Euro 100.000.
Interessante è l’approfondita analisi svolta dal Garante nel primo provvedimento menzionato, dove esamina nel dettaglio quali servizi, software o applicativi possano rientrare tra gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa (che quindi non richiederebbero l’attivazione delle procedure di garanzia previste dallo Statuto dei lavoratori). Tra questi, non solo il servizio di posta elettronica e navigazione web, ma costituiscono parte integrante di questi strumenti anche i sistemi e le misure che ne consentono il fisiologico e sicuro funzionamento al fine di garantire un elevato livello di sicurezza della rete aziendale messa a disposizione del lavoratore, inclusi “sistemi di logging per il corretto esercizio del servizio di posta elettronica, con conservazione dei soli dati esteriori, contenuti nella cosiddetta “envelope” del messaggio, per una breve durata non superiore comunque ai sette giorni; sistemi di filtraggio anti-virus che rilevano anomalie di sicurezza nelle postazioni di lavoro o sui server per l´erogazione dei servizi di rete; sistemi di inibizione automatica della consultazione di contenuti in rete inconferenti rispetto alle competenze istituzionali, senza registrazione dei tentativi di accesso”.
La giurisprudenza sui file di log
All’interno di questa analisi, vale la pena richiamare anche un’interessante ordinanza, con la quale il Tribunale di Napoli (Sezione Lavoro) si è pronunciato in tema di conservazione di file di log e sulle caratteristiche di provenienza, affidabilità e immodificabilità che tali file di log devono possedere (ordinanza del 29/04/2014).
Il caso nasceva dal licenziamento di un dipendente che, utilizzando un computer aziendale, aveva effettuato un accesso abusivo alla posta elettronica dei propri colleghi. L’intera architettura del licenziamento poggiava sull’estrazione dei log dai sistemi che avrebbero consentito all’azienda di dimostrare gli accessi illegittimi da parte del dipendente. L’ordinanza risulta particolarmente interessante in quanto, pur non occupandosi dei tempi di conservazione dei log, si concentra sulle modalità di conservazione degli stessi, richiamando espressamente quanto previsto dal provvedimento del Garante Privacy sugli amministratori di sistema del 27 novembre 2008. In tale provvedimento, il Garante prevede che le registrazioni (access log) – riferite per il vero, all’attività svolta dagli amministratori di sistema – devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste”.
Dalla relazione tecnica del CTU nominato dal Giudice era emerso come, all’epoca dei fatti, erano state realizzate copie dei file di log per evitarne la perdita, posto che il sistema, al termine del periodo di conservazione fissato, provvedeva alla sovrascrittura. Era emerso, tuttavia, che la copia era stata effettuata attraverso un file di testo “apribile” e facilmente modificabile tramite un programma di editing (es. notepad). I log, pertanto, avrebbero potuto essere alterati e, quindi, non essendo modificabili, perdevano la propria attendibilità.
A parere del Giudice, l’azienda avrebbe dovuto adottare specifiche policy di conservazione della prova digitale attraverso la produzione di log firmati digitalmente e marcati temporalmente, al fine di stabilire l’esatta identicità con il dato originale. Conclusione che ben si sposa con le numerose raccomandazioni fornite dal Garante di adottare policy chiare e trasparenti sul salvataggio e sulla conservazione dei dati aziendali rilevanti (oltre che sulle modalità dei controlli e finalità di utilizzo dei dati raccolti).
Preso atto che le copie dei file di log erano giuridicamente non attendibili, al datore di lavoro che non aveva adempiuto all’onere di provare la condotta del lavoratore veniva quindi ordinato di reintegrare il lavoratore, dichiarando inefficace il suo licenziamento.
Conclusioni
Nell’attesa di leggere le determinazioni del Garante all’esito della consultazione, alcune riflessioni, anche alla luce di quanto sopra, sono opportune.
Innanzitutto, la scelta di uno strumento come quello della consultazione porta certamente a pensare che il Garante abbia inteso, pur nella non vincolatività dei contributi ricevuti, aprirsi verso il coinvolgimento di tutti gli attori impattati in questo processo.
Come anticipato, la consultazione ha ad oggetto unicamente il periodo di conservazione dei metadati.
Dall’analisi svolta, emerge come anche la definizione di “metadati” e quindi la portata del Documento di Indirizzo potrebbe essere maggiormente chiarita: è auspicabile, quindi, che nelle determinazioni a valle della consultazione (come già fatto con il provvedimento di avvio della stessa) il Garante fornisca un perimetro ancora più preciso dell’ambito di applicazione del Documento di Indirizzo e delle relative prescrizioni.
E alle determinazioni dovremo rinviare anche per comprendere meglio le motivazioni dietro la scelta del Garante di stabilire un termine prefissato, forse un po’ in controtendenza rispetto al principio dell’accountability che lascia autonomia al titolare del trattamento, previo svolgimento di un assessment sui propri sistemi, di definire, tra gli altri, i periodi di conservazione dei dati personali rispetto a ciascuna finalità di trattamento perseguita, tenuti naturalmente in considerazione le misure di sicurezza da adottare, nonché la natura, l’ambito di applicazione, il contesto e le finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.