Indicazioni da conoscere

 

L’Autorità Garante ha pubblicato un documento di indirizzo in relazione ai tempi di conservazione dei metadati relativi alla posta elettronica dei dipendenti.

I termini indicati sono estremamente ridotti.

Viene fissato, in pratica, un limite massimo di 7 giorni, estendibile di ulteriori 2 in presenza di documentate valutazioni tecniche.

Molte sono, in verità, le voci un po’ critiche sul provvedimento.

 

Provvedimento di indirizzo
Documento n. 642 del 2023
http://www.lavorosi.it/fileadmin/user_upload/PRASSI_2024/garante-privacy-provvedimento-n-642-2023-gstione-email-e-matadati-nel-contesto-lavorativo.pdf

 

La gestione dei log

La gestione dei log della posta e delle attività degli utenti è infatti cruciale per garantire la sicurezza informatica di un’organizzazione.

I log della posta consentono di tracciare e monitorare le comunicazioni via email, rilevando potenziali minacce come phishing o tentativi di accesso non autorizzato.

Inoltre, registrare le attività degli utenti fornisce una panoramica delle azioni compiute sui sistemi e sulle reti, aiutando a identificare comportamenti anomali o violazioni della sicurezza.

Analizzare e interpretare i log in modo proattivo permette di individuare e mitigare tempestivamente le minacce, riducendo il rischio di compromissione dei dati e degli asset aziendali.

Il provvedimento, di conseguenza, incide profondamente sulle politiche di sicurezza delle aziende.

Va peraltro detto che, a stretto rigore, l’Autorità non vieta, di per sé, una conservazione maggiore di quella suggerita ma impone, alle organizzazioni che volessero discostarsene, l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta l. n. 300/1970, ossia il raggiungimento di un accordo sindacale o l’ottenimento dell’autorizzazione dell’Ispettorato nazionale del lavoro (ove non vi siano rappresentanze sindacali interne).

 

 

La motivazione

L’Autorità, a seguito di alcune indagini, ha rilevato come sia ormai uso comune utilizzare provider di posta in modalità cloud.

Tali servizi permettono di raccogliere in modo generalizzato e con impostazioni predefinite i metadati relativi all’utilizzo di account di posta elettronica in utilizzo ai dipendenti.

 

 

Cosa sono i Metadati

Sono dati che descrivono altri dati. Ad esempio, per una foto digitale, i metadati potrebbero includere la data e l’ora in cui è stata scattata, il tipo di fotocamera utilizzata e le impostazioni dell’obiettivo. Nei documenti di testo, i metadati possono contenere informazioni come l’autore, la data di creazione e l’ultima modifica. Sono preziosi perché consentono di organizzare, ricercare e comprendere meglio i dati, anche se non forniscono il contenuto effettivo dei dati stessi.

Eccone alcuni.

Mittente:

  • Indirizzo email
  • Nome (se disponibile)

Destinatario:

  • Indirizzo email
  • Nome (se disponibile)

Oggetto:

  • Testo dell’oggetto

Data e ora:

  • Data e ora di invio
  • Data e ora di ricezione (se disponibile)

Dimensione:

  • Dimensione del messaggio in byte

Allegati:

  • Nome e tipo di file
  • Dimensione del file

Informazioni sul dispositivo:

  • Tipo di dispositivo utilizzato (es. computer, smartphone)
  • Sistema operativo
  • Indirizzo IP

Informazioni sul server:

  • Nome del server
  • Indirizzo IP

Altri metadati:

  • ID messaggio
  • Stato del messaggio (es. inviato, ricevuto, letto)
  • Flags di priorità
  • Segnature digitali

Metadati relativi alla posta elettronica aziendale:

  • Gruppo di posta elettronica
  • Categoria della posta elettronica
  • Regole di posta elettronica applicate

 

I servii “acquisiti” dai provider, in alcuni casi, impongono limitazioni al datore di lavoro in ordine alla possibilità di modificare le impostazioni di base del programma e rendono spesso impossibile disabilitare la raccolta sistematica  dei dati o di ridurre il periodo di conservazione.

Una generalizzata raccolta e conservazione dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti, per un periodo di tempo esteso, in assenza di idonei presupposti giuridici può comportare la possibilità di acquisire informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore.

Poiché il contenuto dei messaggi di posta elettronica, come anche i dati esteriori delle comunicazioni e i file allegati, riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente (artt. 2 e 15 Cost.), l’Autorità ritiene che il lavoratore abbia una legittima aspettativa di riservatezza in relazione a tali messaggi.

 

 

 

Prime conseguenze

Ne discende, secondo tale interpretazione, che il datore di lavoro:

  • deve accertarsi che vi siano i presupposti di liceità stabiliti dallo Statuto dei Lavoratori (in particolare l’art. 4, che vieta di acquisire e trattare informazioni non rilevanti o afferenti alla sua sfera privata);
  • deve rispettare i principi generali di liceità, correttezza, adozione di misure di sicurezza;
  • eseguire apposite valutazioni in merito ai rischi determinati dai trattamenti che intende effettuare;
  • che la conservazione dei metadati non viene ritenuta assorbita nelle eccezioni che consentono per esempio l’utilizzo di strumenti di registrazione degli accessi e delle presenze o di quelli necessari per rendere la prestazione lavorativa (che possono essere utilizzati senza accordo con le rappresentanze o a seguito di autorizzazione: Art. 4, c. 2 Statuto Lav.).

 

Ulteriori conseguenze

La raccolta e conservazione dei metadati, pertanto, “non può essere superiore di norma a poche ore o ad alcuni giorni, in ogni caso non oltre sette giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore”.

Trattamenti eseguiti senza il rispetto di tali indicazioni avranno come conseguenze:

  • l’illiceità del trattamento;
  • la violazione del principio di limitazione della conservazione;
  • la violazione dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita e di responsabilizzazione

 

Cosa deve fare il datore

Infine viene specificato come ogni datore di lavoro debba operare:

  • adottare i provvedimenti necessari per conformarsi alle indicazioni e prevenire trattamenti non conformi;
  • in ossequio al principio di responsabilizzazione e delle indicazioni delle Autorità europee e italiane, poiché i trattamenti utilizzati per osservare, monitorare o controllare i dipendenti interessati presentano un rischio elevato, eseguire una DPIA*;
  • verificare che i provider consentano una gestione conforme a tali indicazioni;
  • adottare le procedure di garanzia con le rappresentanze ove i sistemi abbiano caratteristiche tali da richiedere il superamento dei limiti indicati (nelle more: cessare la raccolta);
  • in alternativa, cessare l’utilizzo di tali programmi.

 

Il Garante invita poi i produttori a tenere conto di tali indicazioni.

 

 

  • Cfr. Gruppo di lavoro art. 29, “Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento”, WP 248 del 4 aprile 2017; cfr. cons. 75 e artt. 35 e 88, par. 2, del Regolamento; v. anche provv. 11 ottobre 2018, n. 467, doc. web n. 9058979, all. n. 1; v., tra gli altri, provv. 13 maggio 2021, n. 190, doc. web n. 9669974, par. 3.5.