Metadati delle e-mail dei dipendenti: questioni aperte su corretta gestione e ruolo del DPO
2024-3-5 01:31:37 Author: www.cybersecurity360.it(查看原文) 阅读量:52 收藏

CONTRIBUTO AL DIBATTITO

La pubblicazione del documento di indirizzo sulla gestione dei metadati delle e-mail dei dipendenti e il successivo avvio di una consultazione pubblica ha acceso il dibattito sul limite temporale “standard” per la conservazione dei metadati fissato a sette giorni. Lasciando alcune questioni aperte. Ecco quali

Pubblicato il 04 Mar 2024

Occorre fare una premessa al dibattito articolato che si è avviato in seguito alla pubblicazione da parte del Garante privacy del documento di indirizzo sulla gestione dei metadati della posta elettronica dei dipendenti e che ha indotto l’Authority ad avviare una consultazione pubblica di 30 giorni: il limite temporale “standard” per la conservazione dei metadati fissato a sette giorni, estensibile a 48 ore in presenza di comprovate e documentate esigenze, non è una novità.

Basta, infatti, richiamare l’ordinanza di ingiunzione alla Regione Lazio (2021 – doc web 9833530) che vietava il trattamento dei metadati relativi all’utilizzo della posta elettronica da parte dei lavoratori oltre i sette giorni, in assenza delle procedure di garanzia di cui all’art. 4, comma 1, della l. 300/1970 (cfr. oltre) e la cancellazione dei dati già raccolti e conservati in eccedenza al predetto periodo.

Per memoria: in quell’occasione motivazioni e tempi di conservazione – ora sostanzialmente omologhi – non suscitarono un dibattito critico come ora, nel cui ambito si contano anche posizioni estreme come quelle che:

  1. mettono in dubbio la potestà del Garante di imporre termini di conservazione ai titolari del trattamento;
  2. suggeriscono di evitare qualsiasi riferimento temporale vincolante per i datori di lavoro ritenendo piuttosto che debba essere il titolare del trattamento a definirli secondo il principio dell’accountability.

Metadati delle e-mail dei dipendenti, perché la consultazione pubblica del Garante privacy è importante

Metadati delle e-mail dei dipendenti: questioni aperte

Al riguardo, quale contributo al dibattito in generale e alla consultazione in particolare, questo intervento presenta:

  1. alcune questioni generali volte a perimetrare gli aspetti normativi e tecnici della questione;
  2. alcune azioni per gestire la posta elettronica nel nuovo contesto;
  3. alcuni aspetti che andrebbero affrontati dai titolari del trattamento per impostare la gestione dei metadati in maniera privacy compliant;
  4. due questioni di carattere più generale afferenti alla figura del RPD e alla gestione dei metadati in ambito plurinazionale nell’UE.

Ciò premesso, di seguito si riportano osservazioni per promuovere una valutazione più esaustiva sul possibile definitivo della materia.

La corretta qualificazione della casella di posta elettronica

La casella di posta elettronica rilasciata da una organizzazione a un proprio dipendente, in genere in forma nomecognome@siglaorganizzazione (quindi non parliamo di caselle ad es nomeunitàoperativa@siglaorganizzazione), pur rappresentando uno strumento di lavoro, costituisce nel contempo un canale di comunicazione teoricamente personale e, in quanto tale, dovrebbe fruire di diverse e qualificate tutele, a partire dall’art. 15 della Costituzione all’articolo 616 del codice penale inerenti che sanciscono il diritto alla segretezza delle diverse forme di corrispondenza Inoltre, in campo giuslavoristico, rileva la protezione dell’art. 4 comma 1 della legge 300/1970 (cd. Statuto dei lavoratori) che per le forme di controllo sui lavoratori prevede un previo accordo sindacale o, in mancanza di questo, l’autorizzazione dell’Ispettorato nazionale del lavoro.

Guida pratica alla difesa degli endpoint, ecco i passaggi.

Ammissibilità di una conservazione più lunga dei metadati

Il Garante, con riguardo ai profili giuslavoristici, osserva che il comma 2 del citato art. 4 dello Statuto dei lavoratori esime dal previo accordo sindacale o dall’autorizzazione dell’INL per gli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze”.

Ma tale norma, andrebbe applicata ai metadati solo se la relativa conservazione fosse contenuta nel tempo: ciò rifletterebbe una duplice natura delle e-mail ovvero:

  1. la posta elettronica come strumento di lavoro (le comunicazioni scambiate), a cui sarebbe applicabile l’art. 4.2;
  2. il gestionale della posta elettronica (in cui ricadono i metadati) che non sarebbero configurabili come strumento di lavoro (tant’è che al dipendente che pur può leggere tali metadati, non occorrono nella loro ordinaria attività).

Pertanto, come osservato nel documento di indirizzo pubblicato dal Garante privacy, oltre una soglia di tempo “fisiologica” valutata in 7 (più 48 ore da motivare) i metadati afferenti alla posta elettronica delle caselle individuali andrebbero cancellati: una maggior durata della conservazione, proporzionata rispetto alle legittime finalità perseguite, sarebbe ammissibile solo in presenza del ripetuto accordo con le OO.SS. o della autorizzazione dell’INL.

La conservazione dei dati relativi al traffico telematico

Sotto il profilo giuridico rilevano poi, con valenza generale, l’art. 132 del Codice privacy secondo cui “ i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati dal fornitore per dodici mesi dalla data della comunicazione” e l’art. 24 della legge 167/2017 per il quale “il termine di conservazione dei dati di traffico telefonico e telematico (…) è stabilito in settantadue mesi, in deroga a quanto previsto dall’articolo 132, commi 1 e 1-bis, del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196”, ciò “al fine di garantire strumenti di indagine efficace in considerazione delle straordinarie esigenze di contrasto del terrorismo, anche internazionale, per le finalità dell’accertamento e della repressione dei reati di cui agli articoli 51, comma 3-quater, e 407, comma 2, lettera a), del codice di procedura penale”.

Ne discende che i provider comunque devono conservare i metadati della posta elettronica per un periodo esteso a 6 anni per specifiche finalità e di 1 anno per quelle “ordinarie”. E’ tale termine ultimo di 12 mesi che dovrebbe essere considerato dal Garante come limite massimo anche per le organizzazioni pubbliche e private per conservare i metadati della posta elettronica delle caselle messe a disposizione per il personale.

Conservazione dei metadati: un aggiornamento sulle linee guida sulle e-mail

Il Garante da tempo pone attenzione alla materia: in argomento si richiamano le Linee guida in ordine alla posta elettronica e internet in ambito lavorativo (2007 – doc web 1387522) e provvedimenti come quello sul trattamento sul trattamento di dati personali dei dipendenti mediante posta elettronica (2016 – doc web 5808460)e quello sull’accesso alla posta elettronica dei dipendenti (2016 – doc web 5958296) .

Considerando la nuova architettura della normativa privacy, il DIPEM rappresenta un aggiornamento delle previsioni prevedendo il punto, ora dibattuto, di un termine contenuto standard per la conservazione da cui consegue l’esigenza che i prolungamenti possano avvenire o nell’ambito delle relazioni industriali con accordo sindacale o con l’autorizzazione dell’INL.

Necessario non impattare sul diritto alla riservatezza

La consultazione, il cui avvio è riconducibile al dibattito in corso e riconducibile a motivi non solo tecnici, è rivolta essenzialmente ad approfondire gli impatti del DIPEM sui soggetti coinvolti (quelli diversi dagli interessati ovvero gli intestatari delle caselle di posta elettronica e i nominativi eventualmente censiti nei metadati posto che alla tutela di questi ultimi si rivolge il Documento di indirizzo).

Al riguardo, sarebbe auspicabile che le eventuali nuove indicazioni del Garante di limitare la disponibilità dei metadati per i datori di lavoro, pubblici e privati che siano, non impattino sulla tutela del diritto alla riservatezza, anche se un bilanciamento sostenibile va effettuato con le esigenze delle organizzazioni da un lato e con i vincoli tecnologici dall’altro.

Un’adeguata motivazione per il prolungamento della conservazione

La decisione di prolungare la conservazione minima oltre i 7+2 gg, come indicato nel DIPEM, deve essere adeguatamente motivata e frutto di analisi inerenti al “perseguimento di esigenze organizzative o produttive” da condurre, oggi, alla luce delle previsioni del GDPR, del Codice privacy e del soft law costituito da Linee guida e orientamenti delle Autorità Garanti (per ogni organizzazione andrebbero quindi attualizzate quelle già condotte prima dell’approvazione del Regolamento UE 2016/679).

Utile un accordo con le organizzazioni sindacali

Al riguardo, sotto il profilo della motivazione, questa dovrebbe poi essere evidenziata alle OO.SS. nel ricercare un eventuale accordo per il superamento del limite dei 7+2gg ma parimenti, in assenza di accordo, dovrebbero essere sottoposte al vaglio dell’INL che dovrebbe seguire criteri omogenei di valutazione a parità di esigenza sottoposta.

Alcune osservazioni sugli aspetti tecnici della conservazione dei metadati

Il DIPEM ha avviato anche riflessioni sugli aspetti tecnici per la relativa applicazione, fra cui rientrano tali aspetti:

  1. presenza e responsabilità dei diversi soggetti a seconda che programmi e gestione della posta elettronica siano in house o acquisiti esterni tramite “cloud o as-a-service”;
  2. esigenza di conservare i metadati relativi alle caselle cd. di struttura e non personali, a fronte di un applicativo unificato);
  3. eventualità che un provider esterno fornisca il servizio a più organizzazioni che abbiano però definito tempi diversi di conservazione (caso in cui dovrebbe intervenire, differenziandoli, sui parametri degli applicativi).

La questione si pone sui metadati conservati dall’azienda

Posto che i dati trattati/custoditi dai provider non dovrebbero essere messi nella libera disponibilità delle diverse organizzazioni da cui/ a cui originano/arrivano le email se non nelle forme previste dalla legge, la questione si pone con le informazioni sui metadati tecnicamente in possesso delle organizzazioni (o dei loro eventuali fornitori esterni del servizio di gestione della posta elettronica).

A chi compete la gestione dei metadati

Infatti, i metadati oltre che essere gestiti dai provider possono essere gestiti anche, in parallelo, dalle singole organizzazioni per vari scopi come la sicurezza informatica, e l’analisi dei dati. Ciò in particolare tramite:

  1. applicazioni – in cloud o su server interni – per l’archiviazione della posta elettronica, che raccolgono e conservano copie di tutte le email in entrata e in uscita, inclusi i loro metadati;
  2. gateway di sicurezza, volti a ispezionare le email in entrata e in uscita (e i loro metadati) per identificare minacce alla sicurezza, come phishing, malware, o perdite di dati;
  3. applicativi per la gestione documentale, che potrebbero essere configurati per organizzare, cercare, e conservare le email in base ai loro metadati.

La scelta di gestire i metadati della posta elettronica internamente, oltre a quanto già fatto dai provider, risponde a una policy volta a un maggior controllo dei dati, ed è comprensibile in un’era in cui il rischio cyber è sempre più insidioso.

Stimolo utile a parametrizzare i tempi di conservazione

Sotto il profilo tecnico, poi, il consolidamento del Documento di indirizzo in parola potrà costituire un riferimento e uno stimolo per i “produttori dei servizi e delle applicazioni, in fase di sviluppo e progettazione degli stessi, a tenere conto del diritto alla protezione dei dati tenuto conto dello stato dell’arte” e, quindi, consentire la parametrazione dei tempi di conservazione secondo le tipicità di ciascuna organizzazione cliente.

Possibili forme sostitutive di garanzia

Se, allo stato, ciò non risultasse tecnicamente possibile, fermo restando il predetto limite che si ritiene debba essere inderogabile dei 12 mesi, andrebbero ricercate forme sostitutive di garanzia che potrebbero consistere in:

  • presso ciascuna organizzazione, sotto il profilo organizzativo-gestionale, si provvede:
  1. periodicamente (ad es. di norma a cadenza giornaliera o, comunque, entro i 7 gg, e comunque prima di lunghe assenze degli interessati) al travaso delle email “personali” nel sistema di gestione documentale ufficiale (in forma che conservi i relativi metadati), laddove queste abbiano contenuti afferenti ai processi di lavoro e ai business perseguiti, ovvero, nel caso ci siano solo indicazioni utili a fini operativi senza piena dignità documentale, solo al loro reinoltro a caselle funzionali. Ciò considerando che non ogni comunicazione via posta elettronica individuale può avere natura di documento di pertinenza dell’organizzazione da conservare nelle forme di legge (altrimenti, tutta la posta elettronica – di enti pubblici e privati – dovrebbe essere custodita nelle forme e nei termini di legge!): ma quella che ha tali connotazioni invero subito andrebbe travasata assieme ai relativi metadati, altrimenti che documentazione “ufficiale” è?. Resterebbe quindi fuori solo quella “individuale”: ma qui sta al titolare dimostrare perché c’è necessità di conservarla fino a un anno e quale che sia la motivazione, questa non dovrebbe essere legata alla gestione documentale;
  2. per i casi di lunga assenza non prevista dell’interessato – che non possa provvedere da remoto a quanto indicato al punto precedente –, previa adozione di una procedura di garanzia, a effettuare la selezione e travaso delle mail da considerare a fini documentali o da reinoltrare per fini operativi a caselle funzionali. Tale procedura potrebbe prevedere l’intervento ad es. del RPD ove nominato o di specifico rappresentante predesignato dai lavoratori, tramite le OO.SS.;
  3. nel caso di collocamento a riposo del dipendente, in via preventiva ad effettuare le operazioni di cui ai punti precedenti;
  4. a gestire le caselle personali dei dipendenti dopo il collocamento a riposo per un tempo limitato da definire d’intesa con le OO.SS. e con la consulenza del RPD ove nominato (ma sarebbe utile una indicazione di codesta Autorità Garante su questo aspetto): a) inibendo se possibile la ricezione dei messaggi in entrata – se non possibile adottando una soluzione quale quella al punto ii) – e b) prevedendo un messaggio di risposta automatica che inviti la controparte a inviare le segnalazioni afferenti esclusivamente ad attività di lavoro ad altra casella di posta elettronica e, previo accordo con l’interessato, se con informazioni di carattere personale, ad altra casella esterna personale.
  • presso ciascuna organizzazione (o per suo conto presso il relativo gestore del servizio), sotto il profilo tecnico, si provvede a:
  1. impostare sistemi di protezione del repository dei metadati della posta elettronica (presumibilmente unificato per le caselle individuali e per quelle funzionali) di talché l’accesso sia tracciato e possibile solo a figure predefinite e solo per fattispecie afferenti a quelle per le quali è stato stipulato l’accordo sindacale o ottenuta l’autorizzazione dalla INL (motivazione che dovrebbe essere diversa da quella afferente alla raccolta di indizi / prove per il perseguimento di reati, competenza questa da espletare dalle competenti Autorità e nelle forme di legge). La procedura dovrebbe prevedere l’interessamento del/dei soggetti eventualmente interessati che dovrebbero poter partecipare alla verifica direttamente e/o delegare un proprio rappresentate (potrebbe essere un designato dei lavoratori, tramite le OO.SS.). In assenza di ciò ogni accesso andrebbe considerato illecito ai sensi delle disposizioni sulla privacy e dello STL;
  2. prevedere tempi definiti di cancellazione automatica dei metadati alle cadenze minime o, se raccolti in ossequio alle procedure di garanzia del STL, più lunghe ma nel limite di 12 mesi;
  3. ove tecnicamente ci fosse l’attuale impossibilità di parametrare tali tempi e quindi ad esempio non fosse possibile rispettare limiti di tempo inferiori, documentare tale situazione e adottare, con il coinvolgimento del RPD ove nominato, una procedura come quella sopra ventilata.

È necessario innovare le tecnologie

L’accettazione “acritica” di esigenze tecniche che non consentano di parametrare tempi contenuti per la conservazione dei metadati potrebbe essere ragionevole solo in via transitoria e per un tempo limitato, nelle more che i produttori innovino le loro tecnologie.

In caso contrario, prendere meramente atto dei vincoli tecnologici esistenti si concreterebbe in un vulnus, attuale e futuro, alle concrete tutele degli interessati.

Analogamente, prospettare che i provider sono dei soggetti “too big to negotiate” in maniera privacy-compliant, e quindi nulla si potrebbe fare per ottenere una parametrazione del gestionale di posta elettronica significherebbe riconoscere che la tutela della privacy può essere – ora e domani – realizzata solo in parte, nonostante gli sforzi che l’UE – sulla frontiera almeno sotto questo versante – sta facendo sul versante normativo.

Non dimenticando, come evidenziato al punto precedente che la gestione dei metadati presso le organizzazioni è questione diversa dalla gestione dei metadati presso i provider di posta elettronica.

Utile definire un tempo di conservazione congruo dei metadati

Per completezza di argomento, si evidenziano due aspetti collaterali ma non di secondo momento:

  1. la prima questione attiene all’utilizzabilità di dati sull’attività di lavoro che siano raccolti dal datore di lavoro senza seguire l’iter dell’art. 4 dello Statuto dei lavoratori. Nell’ambito del diritto del lavoro è consolidata la non utilizzabilità delle predette informazioni, quindi anche dei metadati, in assenza di accordo sindacale o autorizzazione dell’INL. Ma diversa è la questione in ambito penale, dove tale inutilizzabilità viene meno. In argomento, l’art. 160-bis del Codice privacy specifica che l’utilizzabilità nel procedimento giudiziario di atti, documenti e provvedimenti non compliant alle norma sul trattamento dei dati personali sono disciplinate dalle attinenti norme processuali. Ciò trova concreto riscontro anche nella recente sentenza n. 1999/2024 della sezione penale della Corte di Cassazione, incentrata sulla rilevazione degli orari di entrata e uscita in periodo precedente alla modifica dell’art. 4 dello Statuto dei lavoratori, le garanzie per i lavoratori poste dall’art. 4 STL valgono nell’ambito dei “rapporti di diritto privato fra datore di lavoro e lavoratori, ma non possono avere rilievo nell’attività di accertamento e repressione di fatti costituenti reato. Quindi per il datore di lavoro saremmo di fronte al mancato rispetto del STL e del GDPR. Ma le ragioni del datore di lavoro eventualmente potrebbero trovare accoglimento in ambito penale se tramite i dati raccolti potrebbe essere confermata la commissione di un reato che potrebbe, a sua volta, consentire di dar luogo a un provvedimento di licenziamento della persona coinvolta. Per altro verso, se la gestione della posta elettronica si spinge anche al back-up e conservazione, con possibilità/finalità di lettura da parte del datore di lavoro, delle email di caselle individuali, di dipendenti o anche di ex-dipendenti, si configurerebbe una, almeno potenziale: i) lesione della privacy anche degli interlocutori della corrispondenza elettronica, potendo tali comunicazioni contenere informazioni personali e ii) fattispecie penalmente perseguibile, a istanza di parte, del citato art. 616 del codice penale che configura come reato fra l’altro il prendere “cognizione del contenuto di una corrispondenza chiusa, a lui non diretta”;
  2. l’altra questione attiene al settore pubblico, dove il DPR 62/2013 (Codice di comportamento dei dipendenti pubblici) con il nuovo l’art. 11-bis sull’”Utilizzo delle tecnologie informatiche” fornisce dal luglio 2023 specifiche istruzioni anche sull’utilizzo delle caselle di posta elettronica. In particolare, il Codice precisa che: i) gli account istituzionali possono essere utilizzati solo per le incombenze lavorative e senza compromettere la sicurezza o la reputazione dell’amministrazione; ii) il dipendente è responsabile del contenuto dei messaggi inviati; iii) il divieto di inviare messaggi di posta elettronica che siano oltraggiosi, discriminatori o che possano essere in qualunque modo fonte di responsabilità dell’amministrazione.

Dunque, definire un tempo di conservazione congruo dei metadati rappresenterebbe anche una delle misure per la verifica del rispetto di tali previsioni. E le OO.SS. dovrebbero interessarsi circa la definizione di tale congruità.

Per similitudine, analoghe disposizioni / policy potrebbero essere definite anche in ogni ambito organizzativo privato. Fermo restando che andrebbe tenuta presente la giurisprudenza circa la tollerabilità di un uso limitato della casella di posta elettronica individuale per motivi non direttamente alle mansioni svolte.

Un utile apporto consulenziale del DPO

Tutto ciò premesso, e quale che sia l’eventuale adattamento che il Garante privacy ritenesse di apportare al provvedimento in parola, vi sono diverse questioni che i titolari del trattamento dovrebbero considerare, con priorità, anche con l’apporto consulenziale del DPO, ove ad oggi non già definiti.

Sette questioni per il cui dettaglio si rimanda a quanto illustrato in un precedente intervento e che il Garante potrebbe vagliare di richiamare in occasione della comunicazione dell’esito della consultazione.

Implicazioni in settori anche diversi da quello privacy

La questione dei metadati, come emerge dalle riflessioni qui formulate, ha diverse implicazioni che coinvolgono diversi attori e ambiti, non solo quello privacy. Da ciò l’esigenza di affrontare in maniera ponderata la materia e quindi benvenuta la pubblica consultazione.

Nel contempo, va sottolineato, una volta a regime la questione:

  1. l’importanza del contributo che potrà dare il DPO anche su questo aspetto;
  2. l’attenzione, lo spazio che dovrebbe essere riconosciuto alle OO.SS. e da esse rivendicato non solo sulla questione metadati ma sull’intero assetto della privacy nelle organizzazioni, in parallelo all’azione principale afferente alle relazioni industriali sul regime giuridico-economico del rapporto di lavoro.

Conclusioni

Infine, due ultime sollecitazioni alla riflessione:

  • posto che nel documento di indirizzo sulla conservazione dei metadati delle e-mail dei dipendenti viene prospettata la necessità di una DPIA attesa la “raccolta e memorizzazione dei metadati relativi all’impiego della posta elettronica, stante la particolare “vulnerabilità” degli interessati nel contesto lavorativo, nonché il rischio di “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti”, andrebbe valutato se da ciò non discenda anche la necessità di nominare (o una forte opportunità), per le organizzazioni private che non lo avessero fatto, un DPO in considerazione della seguente previsione dell’art. 37 del GDPR “1. Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta: (…) b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala”;
  • aspetti quali: i) la diffusione della posta elettronica (con buona pace delle lettere scritte a mano o a macchina anche elettronica di tempi ormai andati, che tempo e riflessione maggiori richiedevano rispetto a email non ufficiali), ii) le mere considerazioni che una organizzazione possa avere un distribuzione diffusa nel territorio UE e che i lavoratori, operando nella forma da remoto possano risiedere in Stati diversi da quello dell’organizzazione, iii) che fornitori di servizi di gestione della posta elettronica operino sull’intero spazio europeo, induce a ritenere che la materia dei metadati fosse opportunamente oggetto di indirizzi coordinati a livello paneuropeo se non comuni a cura dell’EDPB, onde evitare possibili diverse, a macchia di leopardo, tutele (= diritti) per gli interessati e diversi adempimenti (= oneri) da rispettare da parte delle organizzazioni.

Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono ad alcun titolo l’Istituto pubblico ove presta servizio.

Sicurezza informatica: NIS2 e Regolamento DORA, cosa devono fare banche e aziende Fintech

@RIPRODUZIONE RISERVATA


文章来源: https://www.cybersecurity360.it/legal/privacy-dati-personali/metadati-delle-e-mail-dei-dipendenti-questioni-aperte-su-corretta-gestione-e-ruolo-del-dpo/
如有侵权请联系:admin#unsafe.sh