È senz’altro positiva l’apertura del Garante privacy che, dopo aver pubblicato il documento di indirizzo sulla conservazione dei metadati della posta elettronica dei dipendenti di cui già si è detto, ora comunica di aver aperto una consultazione pubblica sul tema per raccogliere le opinioni dei datori di lavoro e degli esperti.
Vediamo i dettagli e le conseguenze rinvenibili grazie al parere di alcuni esperti con i quali abbiamo fatto pensiero sul tema.
Metadati e caselle di posta elettronica dei dipendenti: una questione non solo di privacy
Metadati delle e-mail: avviata la consultazione pubblica
L’avvio della consultazione sul termine di conservazione dei metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica è stato comunicato dall’Autorità Garante Privacy nella giornata di ieri, 27 febbraio 2024.
Container di software: come garantire la cyber-security in 10 step
In realtà, se leggiamo bene, il comunicato fa riferimento a un ulteriore provvedimento che contiene l’avvio della consultazione pubblica.
La delibera e il suo contenuto
Dal comunicato o meglio dal provvedimento, leggiamo quanto il Garante abbia deliberato in proposito, decidendo di “avviare una consultazione pubblica volta ad acquisire osservazioni e proposte riguardo alla congruità, in relazione alle finalità perseguite dai datori di lavori pubblici e privati, del termine di conservazione dei metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica e relativi alle operazioni di invio, ricezione e smistamento dei messaggi di posta elettronica (che possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei computer coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione e di ricezione, la dimensione del messaggio, la presenza e la dimensione degli eventuali allegati, in certi casi anche l’oggetto del messaggio spedito o ricevuto) e, più in generale alle forme e modalità di utilizzo di tali metadati che ne renderebbero necessaria una conservazione superiore a quella ipotizzata nel citato documento di indirizzo”, così scrive testualmente il Garante.
A fronte, dunque, di questa consultazione pubblica, di fatto il Garante sospende l’efficacia del documento di indirizzo posponendola di fatto al termine della predetta consultazione pubblica all’esito della quale il Garante “si riserva di adottare ulteriori determinazioni o, in caso di mancata adozione di ulteriori determinazioni, al sessantesimo giorno successivo la scadenza del termine per la presentazione dei contributi richiesti nell’ambito della consultazione medesimi”.
Vedremo.
La consultazione pubblica e il parere degli esperti
Vista la delicatezza della questione, l’avvio della consultazione pubblica sul documento di indirizzo sulla conservazione dei metadati delle e-mail dei dipendenti è stato accolto con favore dagli esperti e dagli addetti ai lavori, che così avranno modo di segnalare le criticità delle nuove linee guida ed eventualmente proporre nuove soluzioni, nell’ottica di migliorare il trattamento dei dati personali senza inficiare sull’operatività aziendale.
Non si può derogare dal principio di accountability per i titolari del trattamento
Da un confronto con Anna Cataleta, avvocato e Senior Partner P4I, è emerso che “il Documento di indirizzo sui Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati dell’Autorità Garante ripercorre in modo coerente degli aspetti già analizzati nel 2007 nelle Linee guida per posta elettronica e internet nonché nel 2016 nel provvedimento Trattamento di dati personali dei dipendenti mediante posta elettronica e altri strumenti di lavoro”.
E poi, proseguendo, la Cataleta ricorda che “già nel 2016, il Garante aveva ribadito che i servizi di posta elettronica e navigazione web è da ritenere che possano ricomprendersi solo servizi, software o applicativi strettamente funzionali alla prestazione lavorativa, anche sotto il profilo della sicurezza. Da questo punto di vista e a titolo esemplificativo, possono essere considerati “strumenti di lavoro” alla stregua della normativa sopra citata il servizio di posta elettronica offerto ai dipendenti (mediante attribuzione di un account personale) e gli altri servizi della rete aziendale, fra cui anche il collegamento a siti internet. Costituiscono parte integrante di questi strumenti anche i sistemi e le misure che ne consentono il fisiologico e sicuro funzionamento al fine di garantire un elevato livello di sicurezza della rete aziendale messa a disposizione del lavoratore”.
Chiarissimo.
Non solo, la Cataleta aggiunge anche qualche esempio riferendosi ai “sistemi di logging per il corretto esercizio del servizio di posta elettronica, con conservazione dei soli dati esteriori, contenuti nella cosiddetta envelope del messaggio, per una breve durata non superiore comunque ai sette giorni; sistemi di filtraggio anti-virus che rilevano anomalie di sicurezza nelle postazioni di lavoro o sui server per l´erogazione dei servizi di rete; sistemi di inibizione automatica della consultazione di contenuti in rete inconferenti rispetto alle competenze istituzionali, senza registrazione dei tentativi di accesso”.
Ma non è tutto. L’avvocato Cataleta argomenta bene richiamando l’ordinanza ingiunzione nei confronti di Regione Lazio del primo dicembre 2022 laddove “il Garante che indicato che La conservazione dei metadati relativi all’utilizzo della posta elettronica dei dipendenti, ancorché sul presupposto della sua necessità per finalità di sicurezza informatica (invocate nel caso di specie dalla Regione) può comportare un indiretto controllo a distanza dell’attività dei lavoratori, che la legge consente esclusivamente al ricorrere di esigenze organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale, e in presenza delle garanzie procedurali previste dall’art. 4, comma 1, della l. n. 300/1970 (accordo sindacale o, in alternativa, autorizzazione pubblica)”.
Inoltre, continua l’esperta, in relazione al periodo di conservazione rammentiamo che “la Regione conserva i metadati relativi all’utilizzo della posta elettronica, per generiche finalità di sicurezza informativa, per un periodo di 180 giorni, che, anche alla luce dei provvedimenti adottati in materia dal Garante, non risultata giustificato per il perseguimento delle predette finalità. Ciò in quanto, ove occorra, eventuali incidenti di sicurezza possono e devono essere tempestivamente rilevati e mitigati, a tutela dell’integrità e del buon funzionamento dei sistemi informatici, attuando le opportune contromisure e, se del caso, facendo ricorso ai metadati relativi all’utilizzo della posta elettronica, in ogni caso entro limiti temporali ben più ristretti”.
E qui veniamo al parere vero e proprio della Cataleta: “Alla luce dello scenario riportato, ritengo che il tema debba essere valutato con attenzione tenendo conto, rispetto alle pronunce del 2007 e 2016, dell’avvento del GDPR che ha introdotto il principio di accountability che consente al titolare di fare le proprie scelte mettendo in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente alla disciplina in materia di protezione dei dati personali”.
Pienamente condivisibile; e conclude affermando che “le norme proprio perché astratte devono necessariamente seguire, in ottica evolutiva e di adattamento, i nuovi strumenti aziendali che nel corso degli anni sono divenuti veri e propri ed indefettibili strumenti di lavoro”.
Così si augura, o meglio ci auguriamo che “… si possa, a seguito della consultazione deliberata dal Garante nonché dei chiarimenti che eventualmente l’Autorità adotterà, giungere a delle soluzioni che consentano di bilanciare tutti gli interessi in gioco” di primaria e assoluta importanza (a parere di chi scrive).
E-mail come strumento di lavoro: facciamo chiarezza
Interpellato da Cybersecurity360, poi il Prof. Giovanni Crea, docente ed esperto in materia, esprime così il suo parere: “Dalla lettura del provvedimento di avvio della consultazione e nelle pieghe di questo provvedimento si intravede bene l’obiettivo del Garante, di convalidare la sua posizione attraverso proprio questa consultazione pubblica già espressa nel documento di indirizzo di cui al provvedimento del 21 dicembre scorso 2023”.
“È verosimile pensare”, continua l’esperto, “che il Garante vorrà sostenere la seguente tesi: che il sistema di posta elettronica è un sistema di gestione che in buona sostanza si compone di due macro categorie di:
- programmi informatici – software che funzionano come strumenti di lavoro e che quindi servono al lavoratore per rendere la prestazione lavorativa;
- programmi di gestione che non servono al dipendente al lavoratore per rendere la prestazione lavorativa, ma servono per le finalità (di cui lo stesso e garante ha parlato nel suo documento di indirizzo) che sono di sicurezza informatica di protezione e della di tutela del patrimonio aziendale patrimonio anche informativo”.
Un’ulteriore considerazione che merita apprezzamento ed espressa Professor Crea è che “se gli esiti della consultazione pubblica [ndr. opinando che ci saranno] faranno emergere questa ripartizione del sistema di posta elettronica in quelle due citate grandi categorie (software quali strumenti di lavoro e software come strumenti non di lavoro), smentendo quindi anche fortemente e in maniera clamorosa quella corrente di pensiero manifestatasi in questi giorni, secondo la quale il sistema di posta elettronica avrebbe un unico profilo unicamente quello di strumento di lavoro, vedremo se il Garante riuscirà a dimostrare che invece c’è anche l’altro filone di uno strumento anche di non lavoro”.
“Vieppiù alla luce delle considerazioni squisitamente tecniche” cioè dal punto di vista informatico vi sono delle componenti/moduli software che, conclude il Professore, “in realtà non sono strumenti di lavoro, ma strumenti a supporto di tutto il sistema di posta elettronica in assenza dei quali la parte di software funzionerebbe ugualmente”.
Meditiamoci un po’ su.
Importante chiarire i rapporti tra datori di lavoro e provider di posta
Un altro stimolante confronto lo si è avuto con Andrea Lisi, avvocato e già Presidente Anorc professioni, il quale così argomenta: “l’Autorità Garante effettivamente aveva anticipato la notizia che sarebbe arrivato un doveroso chiarimento, considerato che il documento di indirizzo aveva destato numerose perplessità in ordine alla sua applicabilità”.
E poi prosegue affermando che la circostanza per la quale “si anticipi questo necessario chiarimento con una consultazione pubblica [potrebbe] essere considerata una buona notizia perché consentirà confronto e ponderazione nelle indicazioni da dare. Ovvio che molto dipenderà anche da modalità e termini di questa consultazione e ovviamente dalle conclusioni che l’Autorità farà sue”.
Ancora, l’avvocato Lisi offre qualche spunto a fronte di alcune considerazioni e che riportiamo di seguito fedelmente:
- “Premesso che i principi generali del GDPR e della L. 300/1970 vanno sempre rispettati, l’attuale articolo 4 dello Statuto dei lavoratori, come modificato nel 2015 dal Jobs Act, prevede nel comma 2 una precisa eccezione rispetto alle garanzie esplicitate nel comma 1 per tutti “gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”. Ci troviamo pacificamente d’accordo che le e-mail aziendali, “a maggior ragione se ben regolamentate nel loro utilizzo professionale da policy trasparenti ed esaustive, sono senz’altro strumenti di lavoro. Se per garantire l’efficienza e la sicurezza di uno strumento di lavoro è necessario conservare determinati “metadati”, tale documentata esigenza consente di confermare l’applicazione del II comma. Del resto, non si leggono nella lettera della normativa ipotesi diverse che consentano di “far rientrare dalla finestra” ciò che invece è espressamente eccezione a un principio generale”;
- L’avvocato Lisi riferisce che “la corrispondenza (cartacea e digitale) va ordinatamente conservata secondo l’art. 2220 del Cod. Civile (e per le PA secondo quanto previsto dal Codice dei beni culturali). Per poterlo fare i metadati sono indispensabili, come precisato anche dalle regole tecniche sulla gestione e conservazione dei documenti informatici di AgID;”
- Da qui, passa all’ulteriore considerazione per la quale “i rapporti tra organizzazione datore di lavoro e grandi provider di posta non sempre sono facilmente e schematicamente sussumibili in ciò che in astratto il GDPR prevede”. Considerazione del tutto condivisibile cedendo il passo al principio sacro dell’intero impianto del GDPR “… l’accountability che serve a livellare rapporti contrattuali non ben bilanciati in una sinallagmaticità perfetta: designare responsabile Google è burocrazia formale, non di certo diritto sostanziale”. Qualche consiglio di entrambi sforzarsi sempre di più nel “cercare di verificare bene come garantire i diritti dei lavoratori in rapporti contrattuali sbilanciati, senza però immaginare e chiedere ciò che possibile non è”, posto che “… teoricamente un datore di lavoro è in grado di acquisire dall’analisi di metadati, indirettamente messi a sua disposizione, dei dati personali di un lavoratore, non significa che possa farlo, se la finalità di trattamento fosse tutt’altra!”.
E di qui l’importanza dei modelli organizzativi.
La consultazione pubblica sospende il documento di indirizzo
Ancora un’ultima considerazione espressa dall’avvocato Lisi e che mi trova pienamente concorde. Nel GDPR, a ben guardare, esiste come già scritto più e più volte, il già citato e fondamentale principio di accountability.
Ne discende che i “documenti di indirizzo” in quanto tali debbano per l’appunto “indirizzare l’interpretazione” di titolari, responsabili (e DPO), ma non anche possono vincolare nel rispetto di termini perentori.
Altrimenti si travisa totalmente ciò che nel Parere 3/2010 del Working Party Group ex art. 29 WP 173 già era stato tracciato, e non possiamo quindi rischiare di tornare a un approccio formalistico nell’applicazione della normativa sulla protezione dei dati personali.
Le consultazioni pubbliche: cosa sono e a cosa servono
Più in generale, una consultazione pubblica avviata dall’Autorità Garante Privacy rappresenta un processo aperto e trasparente che consente in teoria a chiunque di inviare osservazioni e commenti su un tema specifico inerente alla protezione dei dati personali.
L’obiettivo è quello di acquisire il parere del pubblico e di considerarlo nell’ambito dell’adozione di un provvedimento o di una linea guida in materia di privacy.
Le consultazioni pubbliche possono essere avviate su diversi temi, tra cui:
- nuovi regolamenti o normative in materia di privacy;
- linee guida su specifici aspetti del trattamento dei dati personali;
- provvedimenti adottati dal Garante in materia di privacy.
Le modalità di partecipazione possono variare a seconda della consultazione, ma in genere è possibile inviare i propri contributi a mezzo modulo online, o via email oppure ancora per posta.
L’Autorità Garante al termine dei giorni indicati esamina tutte le osservazioni e i commenti ricevuti e ne tiene conto nell’ambito dell’adozione del provvedimento o della linea guida in materia di privacy.
Le consultazioni pubbliche, come noto, sono uno strumento importante al fine di:
- garantire la partecipazione del pubblico alle decisioni in materia di privacy;
- migliorare la qualità dei provvedimenti e delle linee guida del Garante;
- promuovere la cultura della privacy tout court.
L’elenco di tutte le consultazioni pubbliche (in atto e pregresse) che il Garante ha finora avviato è disponibile qui, per maggiori dettagli.
Tornando al caso di specie, per quanto sia un bene che il Garante abbia di fatto chiesto le opinioni ai datori di lavoro, esperti e interessati per quanto meglio sarebbe stato lo avesse fatto prima di emanare il provvedimento de quo, non possiamo tuttavia scordare che c’è un art. 5 GDPR che elenca i principi fondanti, norma assolutamente inderogabile.
Senza contare poi che nel momento in cui decorreranno i 60 giorni dalla pubblicazione in GU, le linee guida di indirizzo diventeranno allora un atto a tutti gli effetti di legge vincolante. Ma, con quale base giuridica?
Cybersecurity : la guida per gestire il rischio in banca
@RIPRODUZIONE RISERVATA