Metadati, iI Garante ci ripensa? Forse no

March 3, 2024 by Alberto Bozzo Diritto Rovescio, Non categorizzato
Home | Diritto Rovescio | Metadati, iI Garante ci ripensa? Forse no

Introduzione : L’Importanza della Consultazione Pubblica nella Gestione della Privacy Aziendale

In un’epoca in cui la digitalizzazione permea ogni aspetto della nostra vita lavorativa e personale, la gestione della privacy e dei dati personali emerge come uno dei temi più dibattuti e cruciali.

La recente iniziativa del Garante per la protezione dei dati personali in Italia ne è un chiaro esempio, evidenziando la necessità di un dialogo aperto e costruttivo tra le autorità regolatorie e il mondo aziendale.

Con il decreto del 22 febbraio 2024, numero 127, l’Ente regolatore ha deciso di posticipare l’attuazione delle direttive riguardanti “Programmi e servizi informatici per la gestione delle email in ambito lavorativo e il trattamento dei metadati” (emanate con il decreto del 21 dicembre 2023, numero 642) fino alla conclusione della consultazione pubblica.

Il provvedimento del Garante della Protezione dei Dati Personali

Durante indagini sui trattamenti dei dati personali in ambito lavorativo, il Garante per la privacy ha identificato un potenziale rischio nei programmi e servizi di gestione email basati su cloud.

Nel suo documento di indirizzo, il Garante richiama l’articolo 4 dello Statuto dei lavoratori del 1970, che tratta i controlli a distanza, per esaminare in dettaglio la gestione dei metadati.

Il Garante pone l’accento sulla durata della conservazione dei metadati, specificando che normalmente non dovrebbe superare alcune ore o giorni, e in ogni caso non oltre i sette giorni.

Questo periodo può essere esteso di altre 48 ore solo se ci sono motivi ben documentati che lo giustificano. Conservare questi dati per un tempo maggiore potrebbe essere interpretato come un controllo indiretto delle attività dei lavoratori, anche se fatto per motivi di sicurezza informatica o per proteggere il patrimonio aziendale.

Se un datore di lavoro ha la necessità di estendere questo periodo, deve agire in conformità con l’articolo 4 dello Statuto dei lavoratori, che prevede un accordo con i sindacati o, in assenza, l’autorizzazione dell’Ispettorato nazionale del lavoro. Un periodo di conservazione superiore ai sette giorni eccederebbe le limitazioni stabilite dall’articolo 4, modificato dal decreto legislativo 151/2015 del cosiddetto Jobs Act, che esclude dal controllo a distanza gli strumenti usati dai lavoratori per svolgere il loro lavoro e i sistemi per registrare accessi e presenze.

Quanto sopra è stato deciso anche considerando i risultati di alcune verifiche effettuate in organizzazioni che utilizzano servizi cloud per la gestione delle email. Questi sistemi, secondo quanto emerso, potrebbero automaticamente e in modo generalizzato raccogliere metadati dall’uso degli account email dei dipendenti, mantenendo tali informazioni per periodi prolungati.

Inoltre, è stata evidenziata una certa difficoltà per i datori di lavoro nel modificare le configurazioni standard di questi software per impedire la raccolta indiscriminata di dati o per accorciare i tempi di conservazione.

Nel documento di indirizzo destinato a datori di lavoro sia pubblici che privati e ad altri soggetti coinvolti, l’obiettivo è aumentare la consapevolezza riguardo le decisioni, comprese quelle organizzative, dei responsabili del trattamento dei dati. Si intende anche prevenire azioni e trattamenti dati che possano andare contro le leggi sulla protezione dei dati e le normative che salvaguardano libertà e dignità dei lavoratori.

Dalle informazioni accessibili attraverso i dettagli esterni degli scambi di email, quali l’oggetto, il mittente, il destinatario, e altre informazioni che tracciano il percorso dei dati, come la data e l’ora di invio o ricezione, si possono dedurre dati personali o opinioni del soggetto interessato.

Questo avviene anche attraverso l’analisi dei pattern di comunicazione, come i destinatari frequenti e la frequenza di contatto, poiché anche questi elementi possono essere aggregati, elaborati e monitorati per raccogliere insight sulla vita privata dell’individuo.

Il Garante per la privacy, nel documento oggetto di discussione, ha esortato i responsabili del trattamento dei dati a controllare attentamente che i software e i servizi di gestione delle email utilizzati dai dipendenti, soprattutto quando si tratta di soluzioni commerciali offerte tramite cloud o come servizio, offrano la possibilità al cliente (il datore di lavoro) di modificare le configurazioni predefinite.

Questo per evitare la raccolta dei metadati menzionati o per limitare il tempo di conservazione degli stessi a un massimo di sette giorni, con la possibilità di estenderlo di altre 48 ore in situazioni specifiche.

Conservare questi dati per un tempo maggiore potrebbe essere interpretato come un controllo indiretto delle attività dei lavoratori, anche se fatto per motivi di sicurezza informatica o per proteggere il patrimonio aziendale.

Se un datore di lavoro ha la necessità di estendere questo periodo, deve agire in conformità con l’articolo 4 dello Statuto dei lavoratori, che prevede un accordo con i sindacati o, in assenza, l’autorizzazione dell’Ispettorato nazionale del lavoro.

L’opzione suggerita dall’Ente regolatore prevede di seguire le procedure di garanzia stabilite dalle normative specifiche del settore (articolo 4 della legge n. 300/1970) o di interrompere l’uso di tali software e servizi informatici.

È chiaro che, fino all’eventuale completamento di queste procedure di garanzia, l’utilizzo dei metadati in questione è comunque proibito (come specificato dall’articolo 2-decies del Codice).

L’importanza della informativa e della policy

In questa occasione, il Garante per la privacy ribadisce l’invito ai datori di lavoro affinché provvedano a comunicare ai lavoratori una specifica informativa riguardante il trattamento dei loro dati personali prima di iniziare tale trattamento, come indicato dagli articoli 5, paragrafo 1, lettera a), 12 e 13 del Regolamento.

Questo richiamo prende in considerazione anche il fatto che rispettare gli obblighi di informazione verso i dipendenti, che include fornire dettagli chiari sull’uso degli strumenti tecnologici e sulle modalità di controllo, è una condizione necessaria per il legittimo trattamento dei dati raccolti tramite tali strumenti da parte del datore di lavoro, per qualunque scopo legato al rapporto di lavoro, come specificato dall’articolo 4, comma 3, della legge n. 300/1970.

Il Garannte pertante conclude che, per prevenire un trattamento dei dati personali non conforme, che potrebbe risultare in responsabilità sia sotto l’aspetto amministrativo che penale, è necessario che i datori di lavoro, appartenenti sia al settore pubblico che a quello privato, a prendere le misure necessarie per conformare il loro trattamento dei dati alle leggi di protezione dei dati e alle normative settoriali specifiche.

gli altri aspetti connessi al trattamento dei dati personali

Il documento di indirizzo del Garante evidenzia alcuni aspetti chiave da considerare:

  1. Principi di Limitazione della Conservazione: La durata della conservazione dei dati personali deve essere proporzionale agli scopi per cui sono stati raccolti, evidenziando la criticità di non prolungare tale periodo oltre quanto strettamente richiesto.
  2. Gestione della Collaborazione con il Fornitore di Servizi: Quando si utilizzano servizi basati su cloud o forniti come servizio, è cruciale che il datore di lavoro impartisca direttive chiare riguardo alla gestione dei metadati, garantendo che i periodi di conservazione siano definiti e controllati adeguatamente. In tale scenario, il fornitore del servizio agisce come responsabile del trattamento dati, come specificato dall’articolo 28, paragrafo h, del GDPR, che obbliga il titolare del trattamento a eseguire verifiche che vanno oltre la teoria, estendendosi a pratiche concrete.
  3. Comunicazione Trasparente sul Trattamento dei Dati Personali: È essenziale presentare un’informativa dettagliata e comprensibile sul trattamento dei dati personali, conformemente al GDPR e all’articolo 4 dello Statuto dei lavoratori. Ciò implica che l’utilizzo dei dati raccolti in ambito lavorativo è legittimo solo se i dipendenti sono stati correttamente informati riguardo le modalità con cui i loro dati sono trattati.

Le critiche ricevute

Da quando il documento di indirizzo è stato pubblicato, si è sviluppato un acceso dibattito riguardo alle implicazioni che avrebbe sulle routine quotidiane del lavoro.

È importante considerare che limitare la conservazione dei metadati (dati aggiuntivi legati a un’email, quali data, ora, mittente, destinatario, oggetto e dimensione dell’email) a soli 7 giorni può avere ripercussioni negative anche sulla sicurezza delle informazioni veicolate via email. I metadati, infatti, svolgono funzioni cruciali come indirizzare i messaggi alla destinazione corretta, filtrare lo spam, monitorare la consegna e identificare problemi tecnici.

Molti hanno sottolineato che il limite di conservazione dei dati fissato a 7 giorni, estendibile di ulteriori 48 ore, sembra eccessivamente restrittivo quando si tratta di bilanciare la sicurezza e il know-how aziendale con i diritti e le libertà dei lavoratori.

È stato espresso il desiderio che tale regolamentazione fosse più mirata verso le grandi aziende tecnologiche, che, nonostante offrano una certa flessibilità di configurazione, non raggiungono il livello di dettaglio richiesto.

Di conseguenza, anche con la volontà di seguire scrupolosamente le indicazioni del documento di indirizzo, per le piccole imprese o i liberi professionisti risulterebbe particolarmente arduo conformarsi a questa scadenza senza incorrere in impatti negativi sull’organizzazione del lavoro.

Ma non solo

La possibilità di accedere a tali informazioni dopo il periodo di conservazione standard potrebbe essere vitale per proteggere gli interessi legali dell’azienda o del professionista.

Pertanto, anche se vi è l’intenzione di aderire rigorosamente alle direttive del documento di indirizzo, per le piccole imprese o i professionisti autonomi risulta estremamente difficile conformarsi a tali requisiti senza subire impatti negativi sull’organizzazione del lavoro.

Questo evidenzia la necessità di un approccio più flessibile che consideri le esigenze di sicurezza delle informazioni, la gestione aziendale e la protezione legale senza compromettere i diritti dei lavoratori.

Un percorso iniziato nel 2007

il Documento di indirizzo dell’Autorità Garante sulla gestione della posta elettronica e il trattamento dei metadati in ambito lavorativo segue fedelmente le questioni già esaminate nelle Linee guida del 2007 per la posta elettronica e internet, così come nel provvedimento del 2016 riguardante il trattamento dei dati personali dei dipendenti tramite email e altri strumenti di lavoro.

Nel 2016, il Garante aveva chiarito che i servizi di posta elettronica e la navigazione web dovrebbero essere considerati strumenti di lavoro solo se strettamente necessari per l’attività lavorativa, anche in termini di sicurezza.

Il servizio di posta elettronica fornito ai dipendenti (attraverso un account personale) e altri servizi di rete aziendale, inclusi l’accesso a siti internet, possono essere visti come “strumenti di lavoro” secondo la normativa menzionata. Anche i sistemi e le misure che assicurano il corretto e sicuro funzionamento di questi strumenti, garantendo un alto livello di sicurezza della rete aziendale a disposizione dei lavoratori, sono considerati parte integrante degli stessi.

Nell’ordinanza ingiunzione emessa nei confronti della Regione Lazio il primo dicembre 2022 Il Garante ha sottolineato che conservare i metadati legati all’uso della posta elettronica dei dipendenti, anche se giustificato da motivi di sicurezza informatica (come nel caso della Regione), potrebbe portare a un controllo indiretto delle attività dei lavoratori.

Questo tipo di controllo è permesso dalla legge solo se ci sono specifiche necessità organizzative, produttive, di sicurezza sul lavoro o di protezione del patrimonio aziendale, e deve sempre essere accompagnato dalle garanzie procedurali stabilite dall’articolo 4, comma 1, della legge n. 300/1970, che prevede un accordo sindacale o, in mancanza, un’autorizzazione pubblica.

La consultazione pubblica

Una consultazione pubblica avviata dall’Autorità Garante Privacy è un’iniziativa che permette a chiunque di esprimere opinioni e commenti su questioni legate alla protezione dei dati personali.

Questo processo, aperto e trasparente, mira a raccogliere i pareri del pubblico per influenzare l’elaborazione di nuove normative, linee guida o provvedimenti in ambito privacy.

Le tematiche possono variare ampiamente, inclusi nuovi regolamenti sulla privacy, dettagli sul trattamento dei dati personali, o specifiche azioni del Garante.

Per partecipare, è possibile inviare contributi tramite moduli online, email o posta tradizionale.

Al termine del periodo di consultazione, l’Autorità esamina tutte le osservazioni ricevute per informare le sue decisioni.

Queste consultazioni sono cruciali per coinvolgere il pubblico nelle decisioni sulla privacy, elevare la qualità delle decisioni del Garante e promuovere una maggiore consapevolezza sulla privacy.

Per informazioni dettagliate, è possibile consultare l’elenco di tutte le consultazioni passate e attuali sul sito dell’Autorità. Riguardo al caso specifico discusso, benché sia positivo che il Garante abbia cercato il feedback di datori di lavoro, esperti e altri interessati, sarebbe stato preferibile che ciò avvenisse prima dell’emissione del provvedimento in questione.

È importante ricordare anche che esistono principi fondamentali stabiliti dall’articolo 5 del GDPR, che sono imprescindibili. Dopo i 60 giorni dalla pubblicazione ufficiale, le linee guida diventeranno effettive e vincolanti.

Ora dal documento ufficiale, apprendiamo che il Garante ha deciso di iniziare una consultazione pubblica.

Questa consultazione mira a raccogliere opinioni e suggerimenti sulla correttezza del periodo di conservazione dei metadati email, in base agli obiettivi dei datori di lavoro sia pubblici che privati.

L’obiettivo è capire se sia necessario conservare questi dati per un periodo più lungo di quello suggerito nelle linee guida iniziali, considerando le varie modalità di utilizzo dei metadati.

Il provvedimento rischiava di azzerare l’archivio storico delle aziende, dato che l’assenza di metadati (quali mittente e destinatario, data di invio e ricezione, oggetto, dimensione del messaggio e degli allegati) renderebbe praticamente impossibile l’indicizzazione e, di conseguenza, la ricerca dei messaggi di posta elettronica.

La consultazione si concentra anche sulle modalità di utilizzo dei metadati che potrebbero giustificare una conservazione più lunga di quanto proposto nel documento di indirizzo.

La decisione di avviare una consultazione pubblica rappresenta un riconoscimento dell’importanza del coinvolgimento degli stakeholder nel processo regolatorio. Si apre così un canale diretto per aziende e fornitori di servizi email, invitati a presentare le loro considerazioni entro 30 giorni. Questo periodo di dialogo offre l’opportunità di influenzare la formulazione delle linee guida, cercando un equilibrio tra la tutela della privacy e le necessità operative aziendali.

Si spera che ai datori di lavoro venga riconcessa la piena autorità sulle finalità e i metodi di trattamento dei dati, dandogli la libertà di adottare le misure tecniche e organizzative necessarie per assicurare che il trattamento dei dati personali avvenga in conformità con il Regolamento.

Questo includerebbe la capacità di decidere autonomamente il periodo di conservazione dei dati che considerano appropriato, valutando la natura, l’ambito, il contesto e gli obiettivi del trattamento, oltre ai potenziali rischi per i diritti e le libertà degli individui.

Ci si attende (o si spera) anche che i provider di servizi email adottino rigorosamente le linee guida imposte dall’Autorità Garante per la protezione dei dati personali, come esplicitato nel documento guida fornito.

È atteso che i fornitori di servizi di posta elettronica siano tra i primi a conformarsi alle prescrizioni dell’Autorità per la privacy, adeguando i loro sistemi secondo i principi di “privacy fin dalla progettazione” e “privacy come impostazione predefinita”. Questo approccio, una volta messo in pratica dai datori di lavoro nella loro capacità di gestori dei dati, dovrebbe permettere loro di determinare autonomamente il tempo di conservazione dei metadati che considerano più opportuno.

Queste direttive sono progettate per evitare pratiche e gestioni dei dati che contravvengano alle leggi sulla privacy e alle normative che proteggono la libertà e l’onore dei lavoratori, come menzionato negli articoli 113 e 114 del Codice della privacy. L’intento è quello di aumentare la consapevolezza sulle normative e sulle precauzioni necessarie nel contesto lavorativo, data l’importanza dei diritti e delle libertà delle persone coinvolte.

Come funziona la consultazione ?

La partecipazione sarà semplice: sarà sufficiente inviare al Garante osservazioni, commenti, dati, suggerimenti e qualsiasi elemento considerato utile per affinare la regolamentazione del settore, entro un termine di 30 giorni dalla data di annuncio del provvedimento sulla Gazzetta Ufficiale. Gli interventi potranno essere inoltrati via posta tradizionale o tramite e-mail, utilizzando gli indirizzi protocollo@gpdp.it o protocollo@pec.gpdp.it.

Il differimento del provvedimento del Garante

La seconda azione importante presa dal Garante è quella di posticipare l’applicazione delle linee guida stabilite il 21 dicembre, fino alla fine della consultazione pubblica e all’adozione di nuove decisioni.

Se non verranno prese nuove decisioni, il rinvio durerà fino a 60 giorni dopo il termine della consultazione.

In pratica, ciò significa che datori di lavoro e gestori dei servizi cloud per le email aziendali non dovranno cambiare le loro attuali pratiche di conservazione dei dati per un periodo che può arrivare fino a 90 giorni, mentre si raccolgono e si valutano le opinioni.

Redefinire gli Strumenti di Lavoro

Sarà necessaria una maggiore attenzione verso il concetto di “strumenti di lavoro”, come definito dall’articolo 4 dello Statuto dei lavoratori dal 2015.

Oggi, quasi tutti i lavoratori utilizzano le email per svolgere le loro mansioni, inclusi coloro che fanno lavori operativi o manuali, per comunicare con clienti e colleghi.

Riconoscendo questa connessione essenziale, si potrebbe risolvere il dilemma dell’articolo 4, assicurando al contempo il rispetto delle norme sulla protezione dei dati personali.

La Gestione dei Metadati delle Email Aziendali

Il documento chiarisce che la conservazione indefinita di metadati come giorno, ora, mittente, destinatario, oggetto e dimensione dell’email potrebbe trasformarsi in uno strumento per il controllo remoto dell’attività dei dipendenti.

Questa pratica non solo contravviene allo Statuto dei lavoratori, vietando esplicitamente la valutazione delle prestazioni dei dipendenti tramite sistemi di controllo a distanza, ma potrebbe anche rappresentare un trattamento illecito dei dati personali secondo i principi del GDPR.

Di fronte a questa problematica, il Garante sostiene che i metadati dovrebbero essere conservati per un periodo non superiore a 7 giorni, salvo comprovate esigenze che giustifichino un’estensione fino a un massimo di due giorni aggiuntivi. Questa raccomandazione si basa sull’assenza di motivazioni oggettive che richiedano una conservazione più prolungata e dovrebbe essere implementata previo accordo tra azienda e sindacati, garantendo così un approccio condiviso e rispettoso sia delle esigenze operative sia dei diritti dei lavoratori.

L’azione del Garante per la protezione dei dati personali si inserisce in un contesto più ampio di preoccupazione per le modalità con cui le attività lavorative vengono monitorate e valutate. In diversi paesi, strumenti tecnologici avanzati – che includono il monitoraggio degli orari e delle posizioni di invio e ricezione delle email, ma anche tecniche più invasive come il tracciamento del movimento del mouse, catture di schermo e l’utilizzo della webcam – vengono impiegati per valutare le prestazioni dei dipendenti.

Il Garante è intervenuto per risolvere un problema concreto. L’uso di dati come gli orari e i luoghi da cui i dipendenti inviano e ricevono email è pratica comune in alcuni paesi, dove si utilizzano software avanzati. Questi strumenti, che possono includere il tracciamento del movimento del mouse, screenshot e persino l’uso della webcam, servono alle aziende per controllare e valutare le prestazioni dei loro dipendenti. Tuttavia, in Italia, questo tipo di monitoraggio è generalmente proibito e consentito solo in circostanze specifiche, come la protezione dei beni aziendali, e solo dopo aver raggiunto un accordo con i sindacati.

È degno di nota come il Garante abbia deciso di avvertire tutti i datori di lavoro, anche quelli che non hanno intenzioni di sorvegliare i propri dipendenti, riguardo alla pratica dei fornitori di servizi email basati su cloud, che raccolgono e memorizzano comunque i dati. Questo avviene talvolta in modi che sfuggono al controllo diretto dell’azienda, la quale, per legge, dovrebbe avere la piena responsabilità su questi dati.

Secondo un’interpretazione comune e logica, l’obiettivo del Garante è impedire la conservazione permanente dei registri di accesso ai ]server di posta elettronica basati su cloud.

Questi registri dettagliano quando e da quale indirizzo IP i dipendenti accedono, oltre alle azioni che eseguono, e potrebbero essere utilizzati per analisi di ampio raggio. Tuttavia i metadati menzionati nel provvedimento, quali oggetto, mittente, destinatario e tempi di invio o ricezione, sono parte integrante delle email conservate nei servizi cloud. Eliminarli significherebbe rimuovere anche il contenuto dei messaggi stessi.

Nonostante le buone intenzioni, la formulazione delle linee guida ha generato confusione tra le aziende, lasciandole incerte su come procedere per conformarsi alle nuove disposizioni. Questa situazione sottolinea l’importanza di un dialogo continuo e aperto tra il Garante, le imprese e i sindacati per garantire che le normative siano non solo efficaci ma anche chiare e fattibili.

Cosa serve fare?

I titolari del trattamento, con il supporto del DPO, dovrebbero:

Adeguamento ai Principi di Minimizzazione e Limitazione della Conservazione

Il principio di minimizzazione dei dati, sancito dal GDPR, richiede che solo i dati necessari per lo scopo specifico del loro trattamento siano raccolti e conservati. Analogamente, il principio di limitazione della conservazione impone che i dati personali siano mantenuti in una forma che consenta l’identificazione degli interessati solo per il tempo necessario agli scopi per cui sono trattati. Rivedere e, se necessario, ridurre i tempi di conservazione dei metadati significa allinearsi a questi principi fondamentali, assicurando che ogni dato conservato abbia una giustificazione legittima e sia protetto adeguatamente.

Bilanciamento tra Esigenze di Protezione e Operatività

La sfida nell’adeguamento dei tempi di conservazione dei metadati risiede nel trovare un equilibrio tra la protezione della privacy degli individui e le necessità operative delle organizzazioni. Per esempio, alcuni metadati possono essere essenziali per finalità di sicurezza informatica, come il rilevamento di intrusioni o l’analisi forense in caso di incidenti di sicurezza. Allo stesso tempo, è vitale assicurarsi che tali dati non siano conservati oltre il necessario, per evitare rischi legati alla privacy.

Implementazione di Politiche di Conservazione Differenziate

Un approccio efficace può includere lo sviluppo di politiche di conservazione differenziate basate sulla categoria dei dati, sul loro utilizzo e sui potenziali rischi per gli interessati. Questo approccio permette alle organizzazioni di adottare tempi di conservazione flessibili che riflettano la sensibilità dei dati e le esigenze operative specifiche, pur rimanendo in linea con le normative sulla privacy.

Valutazioni Periodiche e Aggiustamenti

Infine, è fondamentale che le organizzazioni conducano valutazioni periodiche delle loro politiche di conservazione dei dati per assicurarsi che rimangano adeguate nel tempo. L’evoluzione delle tecnologie, dei modelli di business e delle normative può richiedere aggiustamenti alle pratiche di conservazione. Un processo di revisione continuo garantisce che le organizzazioni possano adeguarsi rapidamente a tali cambiamenti, mantenendo al contempo un alto livello di protezione dei dati personali.

Un nuovo percorso con le RSA

Esaminare l’opportunità di stipulare nuovi accordi con le rappresentanze sindacali o di ottenere approvazioni dall’Ispettorato Nazionale del Lavoro (INL) a causa delle novità portate dal GDPR, in particolare per quelle procedure che erano già in atto prima dell’implementazione del regolamento.

l’importanza della DPA

Effettuare un’Analisi di Impatto sulla Protezione dei Dati (Data Protection Impact Assessment, DPIA) per le attività di trattamento dei metadati, a prescindere dal periodo di conservazione previsto.

Fornire informazioni specifiche ai sensi dello Statuto dei lavoratori e del GDPR.

Distribuire dettagli puntuali conformemente allo Statuto dei lavoratori e al GDPR, contemplando l’inclusione dei metadati delle email nel registro documentale ufficiale, includendo il trattamento dei metadati dei messaggi email che devono essere inclusi nel sistema documentale ufficiale.

Dare istruzioni chiare ai fornitori esterni riguardo i tempi di conservazione e le modalità di verifica.

Stabilire procedure per la gestione delle caselle email individuali al termine del rapporto di lavoro, che includano la selezione e l’acquisizione dei messaggi importanti nel sistema documentale e l’eventuale mantenimento temporaneo della casella per inviare risposte automatiche.

Innanzitutto le aziende devono comprendere appieno la propria situazione riguardo l’uso dei servizi email, consigliando di mappare attentamente tali servizi e di discutere con i fornitori la fattibilità di impostare criteri di cancellazione adeguati.

Dopo aver effettuato queste verifiche e considerato la necessità di mantenere i dati per periodi prolungati, ad esempio per motivi di sicurezza informatica a protezione dei beni aziendali, diventa essenziale aggiornare le informazioni fornite ai dipendenti, registrare i processi di trattamento dei dati, rivedere le politiche di conservazione dei dati e altri documenti pertinenti, oltre a stabilire un accordo con i rappresentanti sindacali.

Per fortuna, c’è adesso più tempo a disposizione per portare avanti queste operazioni, mentre si attendono i risultati della consultazione pubblica iniziata dal Garante. È incerto se il Garante opterà per una revisione della durata massima di conservazione dei dati o fornirà linee guida specifiche su come i metadati dovrebbero essere gestiti per rimanere in conformità. Indipendentemente dall’esito, è importante essere preparati a rispondere a qualsiasi scenario che possa presentarsi.

L’utilizzabilità dei dati raccolti

é evidente oltre che ovvia la inutilizzabilità dei dati relativi all’attività lavorativa raccolti dai datori di lavoro senza seguire le procedure stabilite dall’articolo 4 dello Statuto dei lavoratori: l’utilizzo di tali informazioni, inclusi i metadati, è generalmente proibito in assenza di un accordo sindacale o di un’autorizzazione dell’Ispettorato Nazionale del Lavoro (INL).

Tuttavia, la situazione cambia nel contesto penale, dove questa limitazione non si applica.

L’articolo 160-bis del Codice della privacy chiarisce che l’ammissibilità di atti, documenti e provvedimenti non conformi alle norme sul trattamento dei dati personali è determinata dalle norme processuali applicabili in procedimenti giudiziari. Questo principio è stato ulteriormente confermato da una recente sentenza della Corte di Cassazione, che ha evidenziato come le protezioni offerte dall’articolo 4 dello Statuto dei lavoratori siano rilevanti nei rapporti privati tra datori di lavoro e lavoratori, ma non influenzino le indagini e le azioni legali relative a reati.

Riflessioni Finali – Alcune illustri opinioni

di Chiara Ponti Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie – Giornalista

Il Prof. Giovanni Crea

il Prof. Giovanni Crea, docente ed esperto in materia, esprime così il suo parere: “Dalla lettura del provvedimento di avvio della consultazione e nelle pieghe di questo provvedimento si intravede bene l’obiettivo del Garante, di convalidare la sua posizione attraverso proprio questa consultazione pubblica già espressa nel documento di indirizzo di cui al provvedimento del 21 dicembre scorso 2023”.

“È verosimile pensare”, continua l’esperto, “che il Garante vorrà sostenere la seguente tesi: che il sistema di posta elettronica è un sistema di gestione che in buona sostanza si compone di due macro categorie di:

  1. programmi informatici – software che funzionano come strumenti di lavoro e che quindi servono al lavoratore per rendere la prestazione lavorativa;
  2. programmi di gestione che non servono al dipendente al lavoratore per rendere la prestazione lavorativa, ma servono per le finalità (di cui lo stesso e garante ha parlato nel suo documento di indirizzo) che sono di sicurezza informatica di protezione e della di tutela del patrimonio aziendale patrimonio anche informativo”.

Un’ulteriore considerazione che merita apprezzamento ed espressa Professor Crea è che “se gli esiti della consultazione pubblica [ndr. opinando che ci saranno] faranno emergere questa ripartizione del sistema di posta elettronica in quelle due citate grandi categorie (software quali strumenti di lavoro e software come strumenti non di lavoro), smentendo quindi anche fortemente e in maniera clamorosa quella corrente di pensiero manifestatasi in questi giorni, secondo la quale il sistema di posta elettronica avrebbe un unico profilo unicamente quello di strumento di lavoro, vedremo se il Garante riuscirà a dimostrare che invece c’è anche l’altro filone di uno strumento anche di non lavoro”.

“Vieppiù alla luce delle considerazioni squisitamente tecniche” cioè dal punto di vista informatico vi sono delle componenti/moduli software che, conclude il Professore, “in realtà non sono strumenti di lavoro, ma strumenti a supporto di tutto il sistema di posta elettronica in assenza dei quali la parte di software funzionerebbe ugualmente”.

La riflessione dell’amico Giovannni prosegue in questi due interessantissimi post

https://www.linkedin.com/feed/update/urn:li:activity:7170116005694763008/?commentUrn=urn%3Ali%3Acomment%3A(activity%3A7170116005694763008%2C7170119278208184320)&dashCommentUrn=urn%3Ali%3Afsd_comment%3A(7170119278208184320%2Curn%3Ali%3Aactivity%3A7170116005694763008)

https://www.linkedin.com/feed/update/urn:li:activity:7154489247297658880/

Andrea Lisi: chiarire i rapporti tra datori di lavoro e provider di posta

Un altro stimolante confronto lo si è avuto con Andrea Lisi, avvocato e già Presidente Anorc professioni, il quale così argomenta: “l’Autorità Garante effettivamente aveva anticipato la notizia che sarebbe arrivato un doveroso chiarimento, considerato che il documento di indirizzo aveva destato numerose perplessità in ordine alla sua applicabilità”.

E poi prosegue affermando che la circostanza per la quale “si anticipi questo necessario chiarimento con una consultazione pubblica [potrebbe] essere considerata una buona notizia perché consentirà confronto e ponderazione nelle indicazioni da dare. Ovvio che molto dipenderà anche da modalità e termini di questa consultazione e ovviamente dalle conclusioni che l’Autorità farà sue”.

Ancora, l’avvocato Lisi offre qualche spunto a fronte di alcune considerazioni e che riportiamo di seguito fedelmente:

  1. “Premesso che i principi generali del GDPR e della L. 300/1970 vanno sempre rispettati, l’attuale articolo 4 dello Statuto dei lavoratori, come modificato nel 2015 dal Jobs Act, prevede nel comma 2 una precisa eccezione rispetto alle garanzie esplicitate nel comma 1 per tutti “gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”. Ci troviamo pacificamente d’accordo che le e-mail aziendali, “a maggior ragione se ben regolamentate nel loro utilizzo professionale da policy trasparenti ed esaustive, sono senz’altro strumenti di lavoro. Se per garantire l’efficienza e la sicurezza di uno strumento di lavoro è necessario conservare determinati “metadati”, tale documentata esigenza consente di confermare l’applicazione del II comma. Del resto, non si leggono nella lettera della normativa ipotesi diverse che consentano di “far rientrare dalla finestra” ciò che invece è espressamente eccezione a un principio generale”;
  2. L’avvocato Lisi riferisce che “la corrispondenza (cartacea e digitale) va ordinatamente conservata secondo l’art. 2220 del Cod. Civile (e per le PA secondo quanto previsto dal Codice dei beni culturali). Per poterlo fare i metadati sono indispensabili, come precisato anche dalle regole tecniche sulla gestione e conservazione dei documenti informatici di AgID;”
  3. Da qui, passa all’ulteriore considerazione per la quale “i rapporti tra organizzazione datore di lavoro e grandi provider di posta non sempre sono facilmente e schematicamente sussumibili in ciò che in astratto il GDPR prevede”. Considerazione del tutto condivisibile cedendo il passo al principio sacro dell’intero impianto del GDPR “… l’accountability che serve a livellare rapporti contrattuali non ben bilanciati in una sinallagmaticità perfetta: designare responsabile Google è burocrazia formale, non di certo diritto sostanziale”. Qualche consiglio di entrambi sforzarsi sempre di più nel “cercare di verificare bene come garantire i diritti dei lavoratori in rapporti contrattuali sbilanciati, senza però immaginare e chiedere ciò che possibile non è”, posto che “… teoricamente un datore di lavoro è in grado di acquisire dall’analisi di metadati, indirettamente messi a sua disposizione, dei dati personali di un lavoratore, non significa che possa farlo, se la finalità di trattamento fosse tutt’altra!”.

E di qui l’importanza dei modelli organizzativi.

La proposta di privacy network

Privacy Network, quale associazione no-profit, da sempre attenta ai temi legati all’applicazione pratica dei principi cardine della normativa privacy vigente, alla luce dell’avvio, da parte del Garante, di una consultazione pubblica sulla congruità del termine di conservazione dei metadati degli account dei servizi di posta elettronica dei lavoratori,
presenta le seguenti

OSSERVAZIONI
Riteniamo che il documento di indirizzo con cui è stato istituito il termine di 7 giorni estensibili di 48 ore per comprovate esigenze, quale periodo di conservazione dei metadati degli account dei servizi di posta elettronica debba essere modificato nei seguenti termini:

ELIMINAZIONE DI QUALSIASI RIFERIMENTO TEMPORALE VINCOLANTE PER I DATORI DI LAVORO


A nostro avviso deve infatti prevalere il principio di accountability, affinché il datore di lavoro possa valutare caso per caso quale sia il periodo di conservazione più congruo dei metadati in questione, rispetto
al proprio scenario di rischio.

Come noto, inoltre, i metadati svolgono un ruolo cruciale nelle indagini forensi in caso di incidenti di sicurezza e/o violazioni di dati personali, fornendo approfondimenti sulla storia, sugli accessi, sulle azioni compiute dagli utenti e sui passaggi dei file, tra cui rientrano certamente le e-mail aziendali.


D’altronde, ancora oggi gli attacchi phishing o attacchi che violano account, fra cui certamente quelli dei provider di servizi di posta, sono tra i più frequenti. Ricordiamo anche gli attacchi “Man in the Middle”, spesso scoperti dall’azienda ben oltre i 7 giorni dall’accadimento (soprattutto per realtà medio-piccole, non dotate di SOC o SIEM).

In assenza di metadati e log, sarebbe estremamente complesso tutelare sia gli interessi aziendali che quelli degli eventuali soggetti interessati coinvolti.


Paradossalmente, le realtà medio-piccole non dotate di strumenti di logging e analisi avanzata delle anomalie potrebbero essere messe più in difficoltà rispetto ad aziende che invece possono permettersi l’uso di questi strumenti, rendendo così l’applicazione delle linee guida sproporzionata proprio nei contesti dove invece sarebbe necessario potenziare le capacità di difesa e analisi forense.


Pertanto, il termine di 7 giorni, prorogabile di solo 48 ore, appare del tutto sproporzionato se ponessimo -come lo richiede la normativa- a bilanciamento i legittimi interessi di tutela e sicurezza del patrimonio e know-how aziendale con i diritti e le libertà dei lavoratori. E lo diciamo con estrema franchezza e onestà, pur essendo un’associazione che
difende da sempre i diritti e libertà dei soggetti interessati (lavoratori e
studenti in primis).

Inoltre, in un contesto di legittimità del loro utilizzo, i metadati possono essere determinanti nelle indagini penali, poiché aiutano a comprendere la creazione, la modifica dei file, l’accesso alle informazioni e altro
ancora.

Tenendo ferma la necessità, per ogni titolare, di definire precisi termini (o criteri) di conservazione, suggeriamo quindi all’Autorità di rivedere le linee guida, tenendo come punto fermo le già ben delineate prassi internazionali in merito ai log di sicurezza, che danno prevalenza alle capacità di analisi forense piuttosto che alla minimizzazione dei dati.

LA RICHIESTA DI ELIMINAZIONE DEI METADATI DOVREBBE ESSERE RIVOLTA NEI CONFRONTI DEI PROVIDER DEI SERVIZI DI
POSTA ELETTRONICA


Per quanto attiene invece alla capacità concreta del datore di lavoro di definire i tempi di conservazione dei metadati della posta elettronica, urge purtroppo sollevare un punto dolente.

La maggior parte delle aziende nel mondo usano strumenti della big
tech come Google Workplace o Office365, che pur permettendo diversi livelli di configurabilità, non è detto che consentano questo tipo di conservazione granulare. In particolare, da una prima indagine, non ci risulta possibile definire un tempo di conservazione breve per i metadati della posta elettronica trattati con Google Workplace.

Tale adempimento potrebbe quindi essere tecnicamente impossibile o di difficile realizzazione da parte delle aziende italiane. Troviamo quindi più opportuno rivolgere il provvedimento primariamente ai fornitori
di servizi di posta elettronica, anche nel rispetto del principio di privacy by design e by default, che dovrebbero proprio governare il processo di sviluppo di questi software.
Alla luce di tutto quanto sopra,
SUGGERIAMO


al Garante per la Protezione dei Dati Personali la modifica del Documento di Indirizzo:
a) eliminando qualsiasi riferimento temporale vincolante per i datori di lavoro, in accordo con il principio di accountability e con le già ben delineate prassi internazionali in merito ai log di sicurezza, che danno prevalenza alle capacità di analisi forense piuttosto che alla minimizzazione dei dati;
b) rivolgendo il provvedimento primariamente ai fornitori di servizi di posta elettronica per avviare processi di privacy by design e by default all’interno di chi ha sviluppato tali applicazioni in modalità

In fede,
Milano, lì 27.02.2024
Privacy Network