Sono stati finalmente chiariti dal Garante per la protezione dei dati personali molti dei dubbi interpretativi sulla conservazione dei metadati relativi alle comunicazioni di posta elettronica dei dipendenti. In proposito, sia permesso rimandare all’articolo di commento alla precedente versione del provvedimento: “Metadati delle email dei dipendenti: il punto sul provvedimento del Garante sottoposto a consultazione pubblica”.
Il nuovo testo del documento, ampiamente aggiornato a seguito appunto di consultazione pubblica e datato 6 giugno 2024 [10026277] (ma reso disponibile a partire dal 17 giugno), era particolarmente atteso da aziende e consulenti, considerate le difficoltà inizialmente emerse, prime fra tutte la prescrizione di un tempo brevissimo di conservazione dei metadati (7 giorni) e un raggio applicativo incerto. In merito a entrambe le criticità, il provvedimento recente offre indicazioni nettamente migliorative.
Esaminiamone dunque i principali passaggi di rilievo, raggruppandoli in quattro sezioni.
Tempo di conservazione esteso a 21 giorni
L’elemento più lampante del nuovo testo è certamente rappresentato dall’estensione del termine (massimo) di conservazione dei metadati da 7 a 21 giorni. Il nuovo termine, se concede maggiore respiro ai titolari del trattamento, continua tuttavia a non soddisfare le esigenze di motivazione dei provvedimenti dell’Authority.
In effetti, non viene offerta alcuna spiegazione per una determinazione numerica tanto esatta. Ciò, a parere di chi scrive, determina due ordini di difficoltà. La prima è che in tal modo il Garante si sostituisce al titolare del trattamento nella determinazione dei tempi di conservazione, occupando una competenza e un onere che sono del secondo, ai sensi dell’art. 5 GDPR, cosiddetto principio di accountability del titolare.
L’altra è che i titolari del trattamento vengono in tal modo disincentivati a farsi carico della concreta attuazione di tale principio, non disponendo neppure di un percorso motivazionale che permetta loro un’applicazione ragionata e un adattamento in base al contesto.
Vero che l’Autorità smussa alquanto la formulazione categorica, parlando di un termine “a titolo orientativo”, è tuttavia chiaro, dalla complessiva esposizione, che chi vorrà avventurarsi oltre tale termine dovrà vincere una notevole presunzione contraria istituzionale.
In definitiva, 21 giorni sono un periodo secco, che pone una regola e ammette difficili eccezioni.
Effettivo campo di applicazione del provvedimento
I metadati esaminati dal documento di indirizzo sono solo quelli che “corrispondono tecnicamente alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client”.
Dunque, diversamente dalla prima stesura, quella aggiornata, che esplode alcune indicazioni già contenute nell’atto di avvio della consultazione pubblica, circoscrive notevolmente il campo applicativo. L’Authority anzi chiarisce, a scanso di equivoci, che il termine di conservazione di 21 giorni non si applica alle comunicazioni di posta elettronica presenti nella casella dei dipendenti. Sono cioè escluse dall’area applicativa “le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate – ancorché talvolta non immediatamente visibili agli utenti dei software “client” di posta elettronica (i cosiddetti MUA – Mail User Agent) – a formare il cosiddetto envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici”.
È appena il caso di notare che nel provvedimento iniziale si parlava proprio invece di applicabilità ai “metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti”, dicitura ambigua che peraltro permane tuttora, ma nel solo apparato delle premesse. Questo spostamento del fuoco dai metadati di utilizzo degli account a quelli tecnici generati nelle operazioni di smistamento tra server e server e tra server e client è certamente un bene, perché evita situazioni insostenibili per le aziende.
Giova tuttavia avvertire che, al netto della prescrizione del termine massimo di conservazione di 21 giorni per i soli metadati generati dai sistemi di smistamento e gestione della posta elettronica, non bisogna cadere nell’equivoco di considerare anche il resto del documento come limitato nello scopo.
In verità, il provvedimento del Garante ha vocazione generale, poiché chiarisce la posizione dell’Autorità rispetto a qualsivoglia strumento lavorativo, pur lecito, da cui possa derivare indirettamente controllo a distanza dei dipendenti attraverso un trattamento di dati personali. Le implicazioni sono cioè molto più ampie di quanto una lettura affrettata potrebbe portare a credere.
C’è in particolare un passaggio che vale la pena mettere in evidenza: la costruzione, da parte dell’Autorità, di una presunzione di controllo indiretto del dipendente al decorrere di una certa durata di conservazione delle informazioni di log (e applicabile, giuridicamente, a qualsiasi log). Tale assunto costituisce un punto fermo nella posizione del Garante, ma non altrettanto fermo in caso di evoluzione in contenzioso giudiziale. Insomma, si può contestare. L’opinabilità risiede, a parere di chi scrive, nella natura assiomatica della formulazione, priva di apparati esplicativi convincenti.
Vero che l’esaurirsi della finalità di trattamento, nella specie la finalità di corretto funzionamento dei sistemi di smistamento della posta elettronica, fa venire meno un presupposto di liceità del trattamento, tuttavia è controvertibile che ciò solo trasformi ipso facto il trattamento in una forma di controllo indiretto del lavoratore. Detto altrimenti: la posizione dell’Authority è certamente rispettabile ed è un bene che sia espressa con molta chiarezza, tuttavia si presta, soprattutto per l’asciuttezza con cui è formulata, a essere contrastata con successo.
Sempre in tema di vocazione generale del provvedimento, va apprezzata la tessitura dei rapporti giuridici, in esso ben sviluppata, che esistono tra l’articolo 4 dello Statuto dei lavoratori (legge 300/70), il Codice privacy (d.lgs. 196/03) e, a monte, il GDPR (reg. UE 2016/679), anche in termini di sanzioni applicabili e di responsabilità. Il Garante dunque fornisce utili strumenti concettuali, preziosi per le valutazioni del titolare del trattamento in una serie di contesti diversi, anche per esempio in materia di videosorveglianza dei lavoratori, non solo quindi di metadati della posta elettronica.
Valore giuridico dei documenti di indirizzo
Nel provvedimento del 6 giugno 2024, qui esaminato, sono numerosi i passaggi nei quali è ribadita la natura di mera interpretazione di tale tipologia di provvedimento. È importante perché la prima versione del dicembre 2023 recava, almeno nella percezione dello scrivente, ampia ambiguità, tendendo verso un “provvedimento generale”, nello spirito cioè di quelli che in epoca pre-GDPR il Garante emanava, ossia uno strumento contenente elementi di normazione secondaria.
Insomma, il punto è: con il provvedimento d’indirizzo il Garante scrive nuove regole o si limita a chiarire e sistematizzare quelle già esistenti? Ecco, il tema ha interesse più ampio rispetto al caso che ci occupa, perché l’Authority realizza documenti di indirizzo in svariate materie.
Vale la natura di mero chiarimento e sistematizzazione, come si è detto: il valore meramente interpretativo del testo si trova opportunamente ribadito in più punti della versione aggiornata. Resta tuttavia l’oggettiva considerazione che la determinazione di un termine di conservazione di 21 giorni, sia pure “a titolo orientativo” si palesa a tutti gli effetti come l’introduzione di una regola generale nuova e non come l’interpretazione di una disciplina esistente. Un termine così netto, pur con la “sfocatura” introdotta, tende a stridere con affermazioni, contenute nel documento d’indirizzo, secondo le quali esso “non reca prescrizioni né introduce nuovi adempimenti a carico dei titolari del trattamento”, e che, “stante la natura orientativa del documento di indirizzo, dallo stesso non discendono nuovi adempimenti o responsabilità”.
Proprio l’osservazione tuttavia che la “soglia 21” è indicata in un contesto che non permette l’introduzione di nuove regole può, allo stesso tempo, supportare adeguate linee di difesa per il titolare del trattamento che tale soglia non abbia inteso in termini precettivi.
Il capitolo fornitori
Da ultimo, vale la pena notare che i fornitori dei sistemi di gestione della posta elettronica continuano a essere i grandi assenti dal raggio applicativo del provvedimento. Certo, rispetto alla versione iniziale, il nuovo documento d’indirizzo dedica maggiore spazio agli obblighi di costoro, ma senza porli mai veramente al centro dell’attenzione istituzionale. La sensazione è quella che si resti al livello di quello che gli anglosassoni chiamano “lip service”. Eppure, sono proprio i grandi fornitori parte essenziale del problema e di conseguenza parte essenziale della soluzione. La moltitudine frammentata dei titolari del trattamento che fruisce dei loro servizi spesso può davvero poco, come peraltro emerge tra le righe nello stesso provvedimento del Garante.
In definitiva, chi mette in circolazione sistemi che hanno rilevanza in materia di trattamento dei dati personali, si pensi ai grandi sistemi in cloud, ha il dovere di assicurarne la conformità al GDPR, tuttavia questo passaggio trova collocazione periferica nel documento d’indirizzo.
Conclusioni
L’apertura di una consultazione pubblica e le sostanziali modifiche al documento originario appaiono assai apprezzabili, perché rivelano il profilo di un’Autorità capace di tornare sui propri passi e di migliorare sensibilmente, attraverso un approccio condiviso, il contenuto dei provvedimenti. Il documento d’indirizzo, che sia oppure no condivisibile in toto, presenta certamente passaggi di notevole interesse giuridico, che vanno oltre il campo applicativo immediato. Quest’ultimo inoltre risulta chiarito finalmente con precisione, il che permetterà, prevedibilmente, una riduzione di adempimenti per i titolari del trattamento e altresì del contenzioso. Unica sbavatura, ad avviso di chi scrive, resta la tendenza a prevedere d’ufficio termini di conservazione dei dati personali che spettano unicamente al titolare del trattamento (ciò segna una tendenza sistematica sulla quale è auspicabile una rimeditazione) e la riluttanza a rivolgere primaria attenzione ai grandi fornitori. Soprattutto quest’ultimo aspetto non lascia prevedere il raggiungimento di una soluzione reale in tempi brevi, perché le leve negoziali dei titolari per imporre modifiche di progettazione dei software sono qui debolissime. Resta anche la generale sensazione, nel mercato quanto negli interpreti, che il provvedimento riveli un’eccessiva concentrazione su un argomento interessante ma marginale, che rischia di distrarre energie da tematiche ben più gravi e pressanti.
Articolo a cura di Enrico Pelino
Enrico Pelino è avvocato del foro di Bologna, DPO e co-fondatore dello studio legale Grieco Pelino Avvocati. Da sempre cultore dell’intersezione tra diritto e tecnologia, ha conseguito un dottorato di ricerca in diritto dell’informatica presso l’Università di Bologna, e quindi collaborato con associazioni del settore. Attualmente è fellow dell’Istituto Italiano per la Privacy e la valorizzazione dei dati (IIP) e componente del comitato tecnico-scientifico di Anorc Professioni. È altresì nella lista degli Esperti costituenti il “Support Pool” dell’EDPB (European Data Protection Board). Autore di numerosi articoli in riviste specializzate in materia di diritto digitale, invited speaker in primarie conferenze, ha svolto docenze in master per università ed enti di alta formazione. Per l’editore Giuffrè ha curato e scritto, assieme a colleghi di primo livello nazionale, volumi monografici e commentari in materia di protezione dei dati personali e disciplina della società dell’informazione: Il Regolamento Privacy Europeo (2016), Codice della Disciplina Privacy (2019); Privacy e libero mercato digitale (co-autore, 2021); Digital Services Act e Digital Markets Act (2023); Codice commentato della privacy (2024).
https://www.ictsecuritymagazine.com/articoli/privacy-e-metadati-di-posta-elettronica-dei-dipendenti-le-principali-novita/