800 561720
Con il recente “Documento di indirizzo sulla conservazione dei metadati” il Garante per la protezione dei dati personali chiede a tutti i datori di lavoro, pubblici e privati, di verificare la conservazione dei dati raccolti tramite i software utilizzati per la gestione della posta elettronica. L’Autorità chiarisce quali azioni intraprendere e quali adempimenti attuare per evitare di incorrere in pesanti sanzioni. La tua organizzazione rispetta tali indicazioni?
La ratio del nuovo provvedimento
Come anticipato, mediante il Provvedimento del 21 dicembre 2023 - Documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” – il Garante fornisce nuove indicazioni utili a prevenire violazioni della normativa in materia di protezione dei dati personali, nonché delle norme giuslavoristiche in materia di controllo a distanza dei lavoratori.
Nel corso degli accertamenti effettuati, infatti, l’Autorità ha rilevato che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud-based, conservano, per impostazione predefinita, in modo preventivo e generalizzato, dati personali degli utenti (i c.d. “metadati”) per un periodo temporale esteso e non conforme.
Metadati: cosa si intende?
In particolare, è emerso che gli applicativi per la gestione della corrispondenza elettronica, raccolgono i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti. Nel documento di indirizzo si legge che fra questi metadati vi sono:
- il giorno,
- l’ora,
- il mittente,
- il destinatario,
- l’oggetto,
- la dimensione dell’e-mail.
Il Garante, quindi, non fornisce una definizione di metadati ma si limita a riportare gli esempi di cui sopra. Il concetto in esame deriva dall’inglese “metadata”, costruito con il prefisso meta- (dalla preposizione greca metà “al di sopra”) e il plurale neutro latino data “i dati”. Tale forma viene usata anche nella nostra lingua, ma la versione adattata “metadati” è comunque prevalente. In informatica, i metadati sono informazioni aggiunte, ovvero generate in maniera automatizzata dai sistemi in uso per finalità ulteriori (sebbene correlate al servizio principale). Senza entrare nel tecnico, i metadati classificati come “di contenuto” sono degli elementi che si collegano ad un oggetto informatico con lo scopo di descriverne il contenuto e/o gli attributi (sono le “informazioni delle informazioni” Edoardo Segantini, Corriere della sera, 12 giugno 2011). In questo modo, mediante tali marcatori, è possibile indicizzare i contenuti, classificarli, ottimizzare i servizi di ricerca, ottimizzare l’allocazione di risorse di spazio e computazionali; etc.
Ne deriva che, anche la raccolta di metadati, rappresenta un trattamento di dati personali, da adeguare e presidiare considerando le relative peculiarità. Le caratteristiche intrinseche al trattamento di metadati, infatti, sono tali da generare rischi specifici per la protezione dei dati personali.
Metadati: qual è il problema?
Riassumendo, dalla definizione ricaviamo che:
- i metadati sono informazioni aggiunte ad altre informazioni;
- i metadati vengono generati automaticamente dallo specifico servizio o programma informatico;
- il trattamento dei metadati dipende da come è configurato lo specifico servizio o programma informatico;
- mediante i metadati vengono o possono essere perseguite finalità ulteriori rispetto al principale servizio erogato;
- la natura dei metadati è molto varia e dipende dallo specifico servizio o programma informatico;
- i metadati, nel caso della posta elettronica, riguardano anche il personale alle dipendenze.
I rischi, pertanto, impattano sia sulla disciplina in materia di protezione dei dati personali sia sulle norme che tutelano la libertà e la dignità dei lavoratori (v. artt. 113 e 114 del Codice Privacy). Fra questi citiamo:
- la trasparenza, che deve essere garantita dal provider del servizio;
- l’ampia raccolta sistematica di metadati da parte del servizio o programma informatico;
- la mole di metadati raccolti e conservati dal servizio o programma informatico;
- nel caso della posta elettronica, il trattamento aggiuntivo di dati dei lavoratori;
- la configurazione del servizio o programma informatico, che dovrebbe essere conforme by default;
- la possibilità di personalizzare il trattamento di metadati effettuato dal servizio o programma informatico;
- la necessità che anche le finalità aggiuntive perseguite mediante il trattamento di metadati abbiano una base giuridica su cui fondarsi.
I precedenti dell’Autorità
Come abbiamo detto, il recente Documento di indirizzo deriva direttamente dagli accertamenti effettuati dal Garante. Fra i precedenti provvedimenti ricordiamo, in particolare, la sanzione di 100.000 euro comminata, nel mese di dicembre 2022, alla Regione Lazio.
In tale occasione, l’Autorità era intervenuta su segnalazione di un sindacato che aveva lamentato un monitoraggio posto in essere dall’amministrazione sulla posta elettronica del personale in servizio presso gli uffici. Oggetto del monitoraggio, i metadati relativi ad orari, destinatari, oggetto delle comunicazioni, peso degli allegati.
Al termine dell’attività istruttoria, era emerso che Regione Lazio raccoglieva “in modo preventivo e generalizzato” metadati relativi all’utilizzo degli account di posta elettronica istituzionale assegnati ai dipendenti e successivamente conservava gli stessi per 180 giorni (per generiche finalità di sicurezza informatica). L’Autorità rilevava, pertanto, l’illiceità del trattamento di dati personali, nonché la violazione delle disposizioni giuslavoristiche a tutela dei lavoratori.
Il Documento di indirizzo: istruzioni e adempimenti privacy
Mediante il Documento di indirizzo, il Garante promuove la consapevolezza dei datori di lavoro e fornisce indicazioni specifiche e rigorose sulle azioni da intraprendere per la conformità normativa.
Per quanto riguarda i profili privacy connessi al trattamento di metadati, il Garante formalizza gli adempimenti da porre in essere, richiamando le organizzazioni al rispetto dei principi derivanti dal GDPR:
- la liceità del trattamento;
- la trasparenza dei trattamenti svolti e delle informazioni fornite agli interessati;
- la responsabilizzazione, in relazione alle misure tecniche ed organizzative da attuare per la conformità.
Il Documento di indirizzo: i profili giuslavoristici
In relazione al trattamento dei dati dei lavoratori, l’Autorità invita al rispetto:
- delle diposizioni che vietano al datore di lavoro di acquisire e comunque trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata (art. 8 della l. 20 maggio 1970, n. 300 e art. 10 d.lgs. 10 settembre 2003, n. 276, cui fa rinvio l’art. 113 del Codice);
- delle diposizioni volte a disciplinare il potenziale controllo a distanza dell'attività dei lavoratori mediante gli strumenti lavorativi (art. 4 della l. 20 maggio 1970, n. 300, cui fa rinvio l’art. 114 del Codice).
In particolare, il Garante chiarisce che la conservazione dei metadati della posta elettronica può considerarsi lecita, in assenza della specifica autorizzazione dell’Ispettorato del lavoro o di un accordo sindacale, solo se limitata “a poche ore o ad alcuni giorni, in ogni caso non oltre sette giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore”. “La generalizzata raccolta e la conservazione di tali metadati, per un lasso di tempo più esteso”, si legge nel provvedimento, “potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta l. n. 300/1970”, “nel rispetto del principio di limitazione della conservazione”.
La tua organizzazione è conforme al provvedimento?
Ti ricordiamo che il tema della conservazione dei dati raccolti mediante i sistemi di posta elettronica è trattato nei corsi di formazione dei nostri enti convenzionati. Clicca qui se sei interessato a consultare i cataloghi.
