A meno di un mese dalla pubblicazione, da parte del Garante, del Documento di indirizzo sulla conservazione dei metadati, la stessa Autorità decide di differirne l’efficacia e di avviare una consultazione pubblica. Quali modifiche andrebbero apportate al Documento?
Inviaci il tuo parere e partecipa con ASSO DPO alla consultazione, scrivi a segreteria@assodpo.it entro e non oltre il 15 marzo 2024.
Il Documento di indirizzo
Come sappiamo (ne abbiamo parlato in questo articolo), mediante il provvedimento del 21 dicembre 2023 (v. newsletter del 6 febbraio 2024), il Garante per la protezione dei dati personali ha adottato un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati.
Scopo generale del documento - condivisibile - era quello di sensibilizzare il pubblico, titolari e responsabili del trattamento, rispetto al tema dei metadati relativi all’utilizzo degli account di posta, in modo da permettere agli stessi di effettuare delle scelte realmente consapevoli, a garanzia dei diritti e delle libertà degli interessati.
I termini stabiliti
L’Autorità, tuttavia, non si è limitata a promuovere la consapevolezza e favorire “la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione al trattamento” (art. 57, par. 1, lett. b) e d) del GDPR) mediante mera attività informativa. In seguito agli accertamenti condotti, infatti, ha rilevato l’esigenza di “fornire talune indicazioni, ai datori di lavoro pubblici e privati e agli altri soggetti a vario titolo coinvolti”, molto specifiche, con particolare riguardo ai termini massimi di conservazione dei metadati generati dai sistemi di posta elettronica utilizzati nel contesto lavorativo.
Pertanto, oltre a richiamare i principali adempimenti da porre in essere per garantire trattamenti conformi alla disciplina in materia di protezione dei dati personali (il Regolamento) e alle norme di settore in materia di controlli a distanza (lo Statuto dei Lavoratori), il Garante ha stabilito che:
“Alla luce delle disposizioni richiamate, l’attività di raccolta e conservazione dei soli c.d. metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, per un tempo che, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione - affinché sia ritenuto applicabile il comma 2 dell’art. 4 della L. n. 300/1970 – non può essere superiore di norma a poche ore o ad alcuni giorni, in ogni caso non oltre sette giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore”.
Conseguenze: oneri in capo ad enti ed imprese
In base a quanto disposto dall’Autorità deriva, principalmente, che:
- spetterà al datore di lavoro, titolare del trattamento dei dati, la verifica, con la dovuta diligenza, che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti - specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service - gli consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il periodo di conservazione degli stessi;
- qualora non fosse possibile impedire o limitare il termine di conservazione dei metadati, il titolare dovrà applicare quanto disposto dall’art. 4, comma 1, della l. n. 300/1970 (ovvero raggiungere un accordo con le RSA/RSU o ottenere l’autorizzazione dell’ITL/INL, in presenza di determinati presupposti).
In aggiunta, si renderà necessario porre in essere tutta una serie di altri adempimenti ed azioni correlate, per garantire la conformità del trattamento ed evitare di incorrere in sanzioni. Solo a titolo esemplificativo: lato privacy, spetta direttamente al titolare del trattamento (ai sensi dell’articolo 25 del GDPR) l’adozione di misure volte ad assicurare il rispetto dei principi della protezione dei dati fin dalla progettazione del trattamento e per impostazione predefinita; lato giuslavoro, spetta al datore di lavoro assicurarsi di rispettare quanto disposto dagli artt. 4 e 8 dello Statuto dei Lavoratori.
Quali criticità?
- In primo luogo risulta evidente che il titolare / datore di lavoro, per poter applicare le indicazioni del Garante, dovrà potersi interfacciare con i provider dei servizi di posta elettronica (operanti in qualità di responsabili del trattamento). Si tratta di una operazione non facile, in considerazione del fatto che tali strumenti sono erogati da big tech che definiscono policy uniformi ed applicabili ad una larga scala di utenti. Richiedere l’applicazione di modifiche ad hoc / granulari o intervenire sulle impostazioni settate di default dal provider potrebbe risultare molto complesso, oltre che oneroso in termini di tempo e risorse;
- In secondo luogo, limitare la conservazione dei metadati potrebbe trasformarsi in un’arma a doppio taglio. Tali informazioni, infatti, svolgono anche un ruolo cruciale nel garantire la sicurezza della corrispondenza. Ad esempio, in caso di attacchi c.d. “Man in the Middle”, può rendersi necessario accedere ai metadati anche oltre i 7 giorni previsti, per verificare eventuali violazioni subite e prevenire attacchi futuri;
- Allo stesso modo, il termine di 7 giorni risulta limitante per lo svolgimento di indagini forensi ed investigazioni, anche penali: informazioni quali la cronistoria degli accessi alla posta, dettagli circa la corrispondenza inviata e ricevuta, gli utenti coinvolti, le operazioni di creazione, modifica o cancellazione effettuate sui file, etc., infatti, possono costituire una risorsa essenziale in tale contesto.
Considerando, quindi, le difficoltà derivanti dall’esigenza di interfacciarsi con grandi provider ed il rischio di compromettere la sicurezza delle attività svolte, molti enti ed imprese si troverebbero costrette ad implementare le garanzie di cui al primo comma dell’articolo 4 L. 300/1970, con potenziali disagi anche in capo agli uffici adibiti al rilascio delle autorizzazioni.
La consultazione pubblica
Per le ragioni suesposte, in seguito alla pubblicazione del Documento di indirizzo molti esperti si sono già esposti qualificando l’applicazione del provvedimento e dei relativi termini come un onere sproporzionato in capo ai titolari del trattamento.
Con il Provvedimento del 22 febbraio 2024 (v. comunicato stampa del 27 febbraio 2024), proprio al fine di rispondere alle numerose richieste di chiarimenti ricevute, l’Autorità Garante ha quindi deciso differire l’efficacia del documento di indirizzo e promuovere una consultazione pubblica “volta ad acquisire osservazioni e proposte in merito alla congruità, in relazione alle finalità perseguite dai datori di lavori pubblici e privati, del termine di conservazione dei metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica e relativi alle operazioni di invio, ricezione e smistamento dei messaggi di posta elettronica […"> e, più in generale alle forme e modalità di utilizzo di tali metadati che ne renderebbero necessaria una conservazione superiore a quella ipotizzata nel citato documento di indirizzo”.
La consultazione avrà durata di 30 giorni a partire dalla data di pubblicazione dell’avviso pubblico di avvio della medesima consultazione sulla Gazzetta Ufficiale. Tale avviso – ad oggi, 29 febbraio 2024 – non risulta ancora pubblicato in Gazzetta.
Inviaci il tuo parere
ASSO DPO ha intenzione di formulare un contributo che rappresenti il punto di vista dell’Associazione e degli Associati. Siamo interessati al tuo punto di vista.
- Quali modifiche andrebbero apportate al Documento di indirizzo?
- Ritieni che il termine definito dal Garante sia congruo o troppo stringente?
- Secondo te, vi sono modalità di utilizzo dei metadati che ne renderebbero necessaria una conservazione superiore a quella ipotizzata dal Garante?
- Se sì, quali?
- Ritieni che sia corretto, in generale, che l’Autorità definisca un termine di conservazione dei metadati?
- Se sì, quale potrebbe essere un termine congruo, secondo te?
- Concordi con la decisione del Garante di accollare l’onere di settare la conservazione dei metadati in capo ad enti ed imprese, titolari del trattamento dei dati, oppure ritieni che sarebbe più opportuno che il Garante rivolgesse le indicazioni direttamente ai provider dei servizi di posta elettronica?
Le osservazioni degli associati verranno valutate dal Comitato Direttivo di ASSO DPO e potranno confluire nel contributo che l’Associazione trasmetterà al Garante. Inviaci il tuo parere, entro i prossimi 15 giorni, all’indirizzo e-mail: segreteria@assodpo.it.
Se invece non sei ancora associato ma desideri esprimere il tuo punto di vista e partecipare al contributo che l’Associazione invierà al Garante, iscriviti: clicca qui.