Articolo pubblicato su altalex
Con il provvedimento 6 giugno 2024, n. 364 il Garante per la protezione dei dati personali scioglie la riserva dopo la sospensione dell’efficacia del documento di indirizzo e l’avvio di una consultazione pubblica volta ad acquisire osservazioni e proposte, fornendo alcune utili indicazioni per i Titolari del trattamento.
Senza voler ripercorrere la genesi del documento di indirizzo, le reazioni che ha suscitato e le ragioni che hanno indotto l’Autorità amministrativa indipendente a sospenderne l’efficacia, in questa sede, ci limiteremo ad evidenziare gli elementi di novità contenuti nel provvedimento in commento che mirano a fornire indicazioni per i datori di lavoro ed i fornitori dei servizi di posta elettronica nel rispetto dei principi di accountability e di privacy by design e privacy by default.
1. La definizione di metadati
Il primo elemento di novità rappresenta la definizione di metadati nel contesto lavorativo.
I metadati cui fa riferimento il documento di indirizzo corrispondono tecnicamente alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client (le postazioni terminali che effettuano l’invio dei messaggi e che consentono la consultazione della corrispondenza in entrata accedendo ai mailbox elettroniche, definite negli standard tecnici quali MUA – Mail User Agent).
Tali informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto.
I metadati cui ci si riferisce nel documento (sia quelli di origine prettamente tecnica sia quelli, come il campo “Oggetto”, determinati dagli utenti) presentano la caratteristica di essere registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utilizzatore.
Chiarisce il Garante privacy che i metadati non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate – ancorché talvolta non immediatamente visibili agli utenti dei software “client” di posta elettronica (i cosiddetti MUA – Mail User Agent) – a formare il cosiddetto envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici.
Le informazioni contenute nell’envelope, ancorché corrispondenti a metadati registrati automaticamente nei log dei servizi di posta, sono inscindibili dal messaggio di cui fanno parte integrante e che rimane sotto l’esclusivo controllo dell’utente (sia esso il mittente o il destinatario dei messaggi).
2. Tempi di conservazione
Secondo elemento di novità è l’indicazione di un termine orientativo di conservazione dei metadati, che si il Garante privacy ritiene che possa essere effettuata, di norma, per un periodo limitato a pochi giorni, a titolo orientativo, tale conservazione non dovrebbe comunque superare i 21 giorni con riferimento all’attività di raccolta e conservazione dei soli metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica.
Sempre per assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, a cui risulta applicabile il comma 2 dell’art. 4 della Legge n. 300/1970, l’eventuale conservazione per un termine ancora più ampio potrà essere effettuata, solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente, in applicazione del principio di accountability previsto dall’art. 5, par. 2, del Regolamento, le specificità della realtà tecnica e organizzativa del titolare.
Spetta in ogni caso al titolare adottare tutte le misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati.
Le indicazioni contenute nel documento relativamente ai tempi di conservazione dei metadati come sopra definiti non riguardano i contenuti dei messaggi di posta elettronica (né le informazioni tecniche che ne fanno comunque parte integrante) che rimangono nella disponibilità dell’utente/lavoratore, all’interno della casella di posta elettronica attribuitagli.
Diversamente, la generalizzata raccolta e la conservazione dei log di posta elettronica, per un lasso di tempo più esteso, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta L. n. 300/1970 (v., da ultimo, provv. 1° dicembre 2022, n. 409, doc. web n. 9833530). Resta fermo che anche tale conservazione dovrà avvenire nel rispetto del principio di limitazione della conservazione.
In particolare, finalità connesse alla sicurezza informatica e alla tutela del patrimonio informatico giustificano la conservazione dei metadati per un arco temporale congruo rispetto all’obiettivo di rilevare e mitigare eventuali incidenti di sicurezza, adottando tempestivamente le opportune contromisure.
Al contrario, ove i tempi di conservazione non siano definiti in maniera proporzionata alle finalità del trattamento, il titolare del trattamento può incorrere nella violazione del principio di “limitazione della conservazione” (art. 5, par. 1, lett. e), del Regolamento).
3. Attività di orientamento e corretta informazione del documento di indirizzo
Non si tratterà forse di novità in senso stretto, considerata la finalità di orientamento e corretta informazione, che è propria dell’attività istituzionale del Garante privacy, tuttavia il documento chiarisce che dallo stesso non discendono nuovi adempimenti o responsabilità.
Ciononostante non bisogna commettere l’errore di sottovalutarne il contenuto in quanto offre una lucida analisi su alcuni punti di intersezione tra la disciplina di protezione dei dati e le norme che stabiliscono le condizioni per l’impiego degli strumenti tecnologici nei luoghi di lavoro, senza per ciò solo imporre far discendere nuovi adempimenti o responsabilità.
In questa prospettiva, l’Autorità ha inteso fornire ai datori di lavoro indicazioni in ordine alla possibilità di trattare tali informazioni per consentire il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica, comprese le essenziali garanzie di sicurezza informatica, senza necessità di attivare la procedura di garanzia prevista dall’art. 4, comma 1, Legge 20 maggio 1970, n. 300, espressamente richiamata dall’art. 114 del Codice.
4. Le possibili responsabilità per i datori di lavoro pubblici e privati
Precisa il Garante privacy che il ricorso a sistemi e soluzioni di gestione e conservazione dei log delle comunicazioni elettroniche (come definiti sopra) può considerarsi rientrante nell’eccezione di cui al comma 2 dell’art. 4, L. n. 300/1970 nei casi, alle condizioni e per le finalità già richiamate.
Il discrimine resta l’art. 4, comma 3, della L. n. 300/1970 il quale consente di utilizzare, per le finalità connesse alla gestione del rapporto di lavoro, solo le informazioni già lecitamente raccolte nel rispetto delle condizioni e dei limiti previsti dai commi 1 e 2 e, dunque, nei limiti in cui l’originaria raccolta sia stata lecitamente effettuata nonché fornendo una “adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli” nel rispetto di quanto disposto dalla disciplina di protezione dei dati personali (cfr. provv.ti 28 ottobre 2021, n. 384, doc. web n. 9722661, e 13 maggio 2021, n. 190, doc. web n. 9669974).
Inoltre, dagli elementi ricavabili dai dati esteriori della corrispondenza, come l’oggetto, il mittente e il destinatario e altre informazioni che accompagnano i dati in transito, definendone profili temporali (come la data e l’ora di invio/ricezione), nonché dagli aspetti quali-quantitativi anche in ordine ai destinatari e alla frequenza di contatto (in quanto anche questi dati sono, a propria volta, suscettibili di aggregazione, elaborazione e di controllo), è possibile acquisire informazioni riferite alla sfera personale o alle opinioni dell’interessato.
La generalizzata raccolta e la conservazione dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti, per un periodo di tempo esteso, in assenza di idonei presupposti giuridici, può, dunque comportare la possibilità per il datore di lavoro di acquisire, informazioni riferite alla sfera personale o alle opinioni dell’interessato e quindi non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore.
5. Conclusioni
Di particolare interesse è il ruolo chiave che il documento riconosce ai fornitori dei servizi di posta elettronica i quali devono contribuire a far sì che i datori di lavoro possano adempiere ai loro obblighi di protezione dei dati, contemperando le esigenze di commercializzazione su larga scala dei propri prodotti con la conformità degli stessi ai principi del Regolamento.
Ai titolari del trattamento resta l’obbligo di verificare che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service – consentano loro di rispettare la disciplina di protezione dei dati nei termini indicati nel presente documento di indirizzo, anche con riguardo al periodo di 21 giorni per conservazione dei metadati.
Apprezzabile lo sforzo del Garante privacy, all’esito delle osservazioni pervenute, di circoscrivere l’ambito di applicazione del documento di indirizzo e stimolare un impegno comune nella direzione di tutelare la corrispondenza dei dipendenti. Impegno che si traduce: per il datore di lavoro nel rivedere (anche) la propria supply chain con riferimento ai fornitori di servizi di posta elettronica e per questi ultimi nel rendere i propri prodotti customizzabili secondo le indicazioni fornite dal documento di indirizzo.