Metadati – Le tre novità del nuovo documento d’indirizzo

Avevamo già scritto in questo blog a proposito del documento d’indirizzo del Garante per la protezione dei dati personali, datato 21 dicembre 2023, n. 642 in materia di metadati delle comunicazioni di posta elettronica dei dipendenti, evidenziandone punti di forza ma anche di notevole debolezza giuridica.

Il contesto del nuovo documento d’indirizzo

Soprattutto, colpivano alcune incompatibilità strutturali con il GDPR, prima tra tutte la compromissione del principio di accountability del titolare. Per i cultori della materia, il principio in parola è inviolabile: se lo si incrina, si incrina la struttura portante del Regolamento.

La posizione del Garante aveva inoltre destato ampia perplessità anche nel mercato, per l’indeterminatezza del perimetro oggettivo di applicazione. Infatti, in mancanza di precisazioni (poi pervenute, ved. sotto), qualsiasi componente descrittivo di un messaggio di posta elettronica, come l’oggetto, il mittente, il destinatario, poteva considerarsi catturato nel raggio applicativo.

Come tale, avrebbe dovuto, secondo il Garante, essere cancellato entro un termine strettissimo, compromettendo evidentemente il funzionamento di qualsiasi realtà aziendale. Veniva infatti introdotto un obbligo di cancellazione dei metadati delle email dei dipendenti decorsi soli 7 giorni dall’acquisizione, senza peraltro motivazioni a supporto che permettessero di comprendere una determinazione così esatta del parametro temporale.

Il provvedimento, del resto, aveva chiara natura precettiva, pur non sostenuta da un’idonea base giuridica, aprendo così a incertezze e prospettiva di contenzioso. Per un’analisi più dettagliata, si rimanda anche all’articolo Metadati delle e-mail dei dipendenti: il punto sul provvedimento del Garante sottoposto a consultazione pubblica, pubblicato dallo scrivente per la rivista ICT Security Magazine.

La pertinenza delle obiezioni ricevute da mercato e giuristi, aveva poi determinato l’Autorità di controllo a sospendere opportunamente l’applicazione e a indire una consultazione pubblica.

Ne è risultato un testo ampiamente modificato, e migliorato, reso disponibile qualche giorno fa, cfr. GPDP, documento d’indirizzo 6 giugno 2024, n. 364. Esaminiamone i tre punti essenziali.

I tre punti chiave del nuovo documento

A voler sintetizzare, i punti chiave del provvedimento novellato sono i seguenti:

  • limitazione dei metadati oggetto di disciplina (perimetro oggettivo)
  • estensione del termine di conservazione
  • eliminazione del valore precettivo del provvedimento

Esaminiamoli nell’ordine, considerandone altresì le implicazioni meno evidenti.

Quali metadati

Rispetto alla posizione del dicembre 2023, il Garante ha ristretto molto il perimetro. Il documento di indirizzo si applica infatti oggi soltanto a:

le informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client (le postazioni terminali che effettuano l’invio dei messaggi e che consentono la consultazione della corrispondenza in entrata accedendo ai mailbox elettroniche, definite negli standard tecnici quali MUA – Mail User Agent)

I metadati in questione “presentano la caratteristica di essere registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utilizzatore”. Si tratta di informazioni registrate al solo fine di garantire il corretto funzionamento dei sistemi di smistamento delle e-mail.

Sono dunque esclusi sia i metadati dell’envelope del messaggio di posta elettronica sia quelli in esso incorporati, dunque, è da ritenere, tanto nel body quanto nell’header.

Con ciò restano salvi contenuti delle caselle mailbox dei dipendenti. E’ una precisazione rilevante, viste le preoccupazioni che la prima formulazione aveva, giustamente, sollevato.

Implicazioni: tutto risolto dunque? Non esattamente. Nonostante la drastica riduzione del perimetro dichiarato, è palese al giurista che l’impianto del complessivo ragionamento giuridico del Garante si applica a tutti i metadati, senza alcuna distinzione interna tra log dei server e altri metadati. E’ solo il termine di 21 giorni che riguarda esclusivamente i primi. Veniamo appunto a tale termine.

Conservazione a 21 giorni

La parte centrale nel nuovo testo ripete, con pochi ritocchi, l’ampio apparato di considerazioni giuridiche già esposto in quello precedente. La sola vera novità di rilievo è che il termine di conservazione dei metadati, inizialmente fissato in 7 giorni, è stato moltiplicato per tre e dichiarato valido “a titolo orientativo”. Restano intatti gli oneri di motivare scostamenti a rialzo.

Implicazioni: va premesso che non esiste alcuna ragione esplicitata per il numero 21, pur nel ristretto contesto della finalità di corretto funzionamento dei sistemi di smistamento e gestione della posta elettronica. La mancanza di un supporto motivazionale logico-giuridico rende arbitraria, dunque oggettivamente debole, l’individuazione del termine da parte del Garante. Tuttavia, ci si deve attendere che l’Autorità tenderà a sanzionare chi supera la “soglia 21”.

L’investimento dei titolari del trattamento nel motivare un termine oltre soglia appare fortemente disincentivato dal rischio di sanzione. Questo ci porta al terzo punto: il valore precettivo o non precettivo del documento d’indirizzo.

La natura non precettiva del provvedimento

Teniamo fermo un punto: dal combinato disposto del GDPR e del Codice privacy è palese che i documenti di indirizzo del Garante non hanno valore vincolante. Si rimanda per maggiori spiegazioni all’articolo Metadati: il Garante può davvero prescrivere termini di conservazione? in questo blog. Come tali, il documento d’indirizzo non può neppure essere impugnato con gli strumenti di ricorso del Regolamento generale sulla protezione dei dati.

Ora, la versione novellata del 6 giugno scorso ripete a più riprese la suddetta natura di mera interpretazione e non reca più, come in passato, i passaggi assimilabili a “dispositivo”. Sul punto, l’Autorità di controllo sembra dunque avere recepito interamente le osservazioni della dottrina.

Tuttavia, quali sono le implicazioni della mancata osservanza del termine di cancellazione dei log dopo 21 giorni? Le implicazioni sono, prevedibilmente, l’innesco di un procedimento di misure correttive e/o sanzionatorie, a meno che il titolare non dimostri convincentemente di avere motivato la previsione di un termine più ampio di conservazione, ma è una dimostrazione chiaramente sfavorita dalla sussistenza di una presunzione contraria da parte della stessa Amministrazione che deve valutarla.

In realtà, la fissazione di un termine così preciso numericamente (21 giorni) introduce una nuova regola, che erode sostanzialmente l’accountability del titolare e crea una confusione tra il ruolo di garanzia dell’Autorità e un ruolo legislativo.

Ogni volta che un nuovo termine di conservazione molto preciso viene introdotto e che l’inosservanza dello stesso determina conseguenze correttive e/o sanzionatorie, è chiaro, nonostante le apparenze, che ci si trova di fronte a una fonte normativa secondaria, senza neppure il conforto di uno strumento diretto di impugnazione nel GDPR.

Conclusioni

L’analisi giuridica condotta dal Garante nel documento, che collega Statuto, Codice privacy e GDPR ha certamente grande pregio, che la si condivida interamente oppure no.

Tale analisi, come già notato, ha per sua stessa natura applicazione generale, dunque non riguarda solo i log dei server recanti metadati dei messaggi di posta elettronica dei dipendenti. E’ giusto evidenziarlo, per evitare pericolose letture riduttive da parte del mercato.

Quanto al termine di 21 giorni, valido per i soli log dei server, esso costituisce introduzione, indebita a parere di chi scrive, di un contenuto sostanzialmente precettivo in un documento che per collocazione giuridica ed espressa ammissione dell’Amministrazione non può esserlo. I soggetti considerati trasgressori potranno, in ogni caso, trovare, con opportuna assistenza legale, una solida linea di difesa costruita sul GDPR.

Accesso alla posta elettronica aziendale dell’ex dipendente

Con il provv. n. 140 GPDP del 7.3.2024 [10009004], il Garante per la protezione dei dati personali ancora una volta è tornato ad affrontare la questione del perdurare dell’account aziendale personale del dipendente dopo la cessazione del rapporto di lavoro.

Oggetto del reclamo

Gli interessati nel reclamo lamentavano:

  • il perdurare della sussistenza degli indirizzi email aziendali dopo l’interruzione del contratto di lavoro;
  • l’accesso del datore di lavoro alle comunicazioni pervenute nelle caselle di posta elettronica;
  • la mancanza di informativa sul trattamento dei dati relativi all’e-mail.

La società si difendeva osservando che:

  • gli indirizzi email non erano più attivi;
  • gli account erano destinati all’esclusivo uso aziendale;
  • la permanenza delle caselle di posta elettronica era necessaria per la ricezione di richieste dei clienti e per la continuità operativa dell’azienda;
  • l’accesso ai messaggi era stato effettuato tramite chiavi di ricerca sulle sole mail relative a rapporti aziendali;
  • l’accesso era stato affidato al presidente del CdA e legale rappresentante della società.

Posizione del Garante per la protezione dei dati personali

L’Autorità, confermando il consolidato orientamento sul tema, ha ribadito che il datore di lavoro, in occasione dell’interruzione del rapporto di lavoro, per esigenze di continuità dell’attività aziendale:

  • deve rimuovere l’account aziendale dell’ex dipendente;
  • deve adottare sistemi automatici volti a informare i terzi dell’imminente disattivazione dell’account e della possibilità di contattare altri e diversi indirizzi e-mail;
  • deve adottare misure idonee ad impedire la visualizzazione dei messaggi durante il periodo di funzionamento di tale sistema automatico;
  • deve impostare la permanenza degli account per un tempo proporzionato con le esigenze dell’azienda.

Osservazioni del Garante sul caso

La società avrebbe potuto, e dovuto, garantire la prosecuzione dell’attività aziendale adottando comportamenti conformi alla disciplina di protezione dei dati meno invasivi della sfera di riservatezza degli ex dipendenti.

L’Autorità ha ritenuto non sufficiente a far venir meno l’illiceità del trattamento la circostanza che il datore di lavoro si sia limitato ad accedere alle sole comunicazioni relative a rapporti aziendali, poiché la ricerca dei messaggi sarebbe in ogni caso avvenuta successivamente all’accesso alla casella di posta.

Il Garante ha altresì ribadito che anche i dati esteriori delle comunicazioni e i file allegati, e dunque non solo il contenuto dei messaggi, costituiscono dati personali e forme di corrispondenza assistite da garanzie di segretezza tutelate anche dalla Costituzione (artt. 2 e 15).

Infine, il GPDP ha rimarcato che il titolare del trattamento, prima di effettuare il trattamento, nel rispetto del principio di trasparenza e correttezza di cui all’art. 5, par. 1, lett. a) GDPR, deve fornire all’interessato idonea informativa ex art. 13 GDPR sulle caratteristiche essenziali dei trattamenti che intende effettuare, anche in riferimento all’utilizzo di strumenti lavorativi messi a disposizione del dipendente.

Decisione del Garante

Il Garante ha quindi sanzionato sanzionato la società condannandola al pagamento della somma di € 20.000,00 e ha disposto la pubblicazione del provvedimento sul sito web istituzionale dell’Autorità.

Conclusioni

Il tema affrontato dal reclamo attiene alla delicata questione giuridica del bilanciamento tra l’interesse dell’imprenditore a garantire la continuità dell’attività aziendale e i diritti e le libertà dell’interessato.

Lo strumento aziendale dell’account assegnato al dipendente è oggetto dell’applicazione della normativa sulla tutela dei dati personali, il suo utilizzo, infatti, integra un trattamento di dati personali del dipendente che ne fa uso.

Conformemente al costante orientamento della CEDU, la tutela della vita privata si estende anche all’ambito lavorativo poiché in occasione dello svolgimento della prestazione lavorativa si sviluppano relazioni nelle quali si esplica comunque la personalità del lavoratore, che non cessa di essere persona e quindi soggetto tutelato.

Suggerimenti: al fine di scongiurare ricadute di carattere sanzionatorio il datore di lavoro deve sempre fornire all’interessato adeguata informativa sul trattamento dei dati che intende effettuare.

Una buona prassi per le aziende è quella di adottare opportune policy volte a definire le modalità di utilizzo degli strumenti elettronici aziendali nonché i confini tra la sfera lavorativa e quella personale nell’uso della posta elettronica.

Metadati: il Garante può davvero prescrivere termini di conservazione?

Con provv. 6 giugno 2024, il Garante ha aggiornato il documento d’indirizzo qui commentato. Per un’analisi giuridica del nuovo testo si rimanda all’articolo: Metadati – Le tre novità del nuovo documento d’indirizzo, ferme restando molte delle considerazioni svolte qui di seguito.

Partiamo dall’inizio. Il 6 febbraio scorso il Garante per la protezione dei dati personali rende pubblico un documento d’indirizzo in ambito giuslavoristico con cui definisce in sette giorni prorogabili di ulteriori 48 ore il termine massimo di conservazione dei metadati delle comunicazioni di posta elettronica dei dipendenti.

Il passaggio compare ex abrupto nel corso di una ricostruzione fino a quel punto ineccepibile.

Il provvedimento ha sollevato ampio dibattito, come prevedibile visti gli impatti. Ci si è chiesti innanzitutto quale fosse la motivazione del termine suddetto (perché proprio 7 giorni?), che non è dato rilevare nell’atto, e come possano essere separati i metadati dalle email, visto che per “metadati” si intendono, fra l’altro, “giorno, ora, mittente, destinatario, oggetto e dimensione dell’email”.

Quelli menzionati sono componenti essenziali della corrispondenza elettronica, senza i quali essa cessa di essere tale e si trasforma in testo sciolto, privo di destinatari, mittenti, data, oggetto, inutilizzabile come strumento di lavoro. Ne deriva l’impossibilità pratica di attuazione, per chiunque.

In attesa di un’auspicabile precisazione dell’Autorità, che ne perimetri verosimilmente ragioni e campo effettivo di applicazione (ad esempio a casi particolari di conservazione specifica e dissociata dei metadati, il che ad oggi non emerge dal provvedimento), sia permesso affrontare la questione più a monte: può il Garante prescrivere termini di conservazione dei dati personali?

Il provvedimento in maggiore dettaglio

Innanzitutto, esaminiamo più in dettaglio il provvedimento, cominciando dalla sua genesi. A preoccupare l’Autorità sono i fornitori di applicativi informatici in cloud che raccolgono “per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email), conservando gli stessi per un esteso arco temporale”.

La preoccupazione dell’Authority è commendevole, in un contesto dominato da giganti dell’informatica che impongono regole a tutti, preoccupandosi, talvolta, solo tangenzialmente della compatibilità normativa degli applicativi distribuiti sul mercato.

Tuttavia, oggetto del provvedimento del Garante non sono i grandi fornitori di software, a parte un garbato quanto incidentale invito nella parte finale. Avrebbero ben potuto esserlo, in qualità di responsabili del trattamento (raccolta dati personali in cloud), già individuati dall’Autorità, in merito ai quali si sospetta violazione dell’art. 32 GDPR.

Oggetto del provvedimento è invece la sterminata filiera a valle, i datori di lavoro, anche piccolissimi, che fanno uso di quegli applicativi, e spesso non possono realisticamente prescinderne.

Ora, la posta elettronica è pacificamente uno strumento utilizzato “dal lavoratore per rendere la prestazione lavorativa”, dunque è compreso nell’ambito applicativo dell’art. 4, co. 2 Stat. lavoratori, non richiede cioè preventivo accordo sindacale o autorizzazione dell’Ispettorato nazionale del lavoro.

È qui che interviene il ragionamento del Garante: allo scoccare di 7-9 giorni i metadati vanno cancellati, diversamente fuoriescono dall’alveo del secondo comma e vanno approvati/autorizzati ai sensi del primo comma.

Il passaggio tuttavia non convince sul piano logico, perché il fattore tempo non appare idoneo a modificare l’ontologia di uno strumento di lavoro. Se qualcosa è strumento di lavoro, tale resta, mentre l’ipotizzata eventuale eccessiva conservazione dei dati personali rileverà su altro piano, quello dell’art. 5.1.e) GDPR.

Veniamo con questo al tema principale: la competenza sull’osservanza dell’art. 5.1.e) GDPR è esclusivamente del titolare del trattamento, come indica il secondo paragrafo della disposizione unionale citata. È appunto il principio di accountability, o “responsabilizzazione”, richiamato peraltro anche nel provvedimento del Garante che ci occupa.

Il principio di accountability

Ebbene, accountability significa che è il titolare del trattamento, non il Garante, a determinare il termine massimo di conservazione dei dati personali e ad assumersene piena responsabilità. È un pilastro portante del Regolamento 2016/679 e non può essere messo in discussione.

Infatti, le disposizioni del GDPR che consentono una deroga all’art. 5 sono puntuali e circoscritte (es., art. 23 o art. 85 GDPR), e tra esse non figura l’art. 58, par. 6, ossia la previsione, declinata poi a livello nazionale nell’art. 154-bis cod. priv., su cui l’Authority ha costruito le linee guida di indirizzo qui in esame.

L’art. 58, par. 6 è norma di precisazione, non di deroga, cfr. altresì cons. 129: “Gli Stati membri possono precisare altri compiti”. Manca cioè il presupposto unionale per il potere esercitato dal Garante.

Manca altresì – ferma restando la prevalenza del Regolamento sulla legge nazionale – un presupposto normativo nello stesso codice privacy, dal momento che l’art. 154-bis, co. 1, lett. a) definisce, correttamente, il provvedimento di indirizzo del Garante come “linee guida”, dunque atto di illustrazione e ricostruzione della normativa, non atto di normazione secondaria.

Del resto, gli atti vincolanti delle autorità di controllo, per essere tali, devono recare una serie di elementi, tra cui la menzione del diritto a un ricorso effettivo per la loro impugnazione, a mente del considerando 129 GDPR, altrimenti sono appunto atti di illustrazione della disciplina applicabile, linee guida, pareri.

Ed effettivamente, tolto l’inserto precettivo relativo ai termini di conservazione di 7-9 giorni, il resto del provvedimento di indirizzo esaminato costituisce una pregevole linea guida.

In senso più generale, non pare potersi ravvisare un potere del Garante di sostituirsi al titolare del trattamento nell’applicazione dell’art. 5.2 GDPR neppure in ambito di videosorveglianza o di amministratore di sistema.

Va notato che perfino il legislatore nazionale, in ottemperanza alla regola dell’accountability, ha deciso nel 2018 di prescindere dall’allegato B, fino ad allora complemento essenziale del codice privacy.

Aggiornamento: avvio della consultazione pubblica

Con un provvedimento, un comunicato stampa e un avviso pubblico resi disponibili contestualmente in data 27 febbraio 2024, il Garante ha disposto:

  • l’avvio di una consultazione pubblica per raccogliere “osservazioni e proposte riguardo alla congruità” del termine di conservazione dei metadati, precedentemente indicato in 7-9 giorni, e “più in generale” sulle “forme e modalità di utilizzo di tali metadati”;
  • di “differire l’efficacia del documento di indirizzo”, che tuttavia non recava nessuna data di efficacia.

Risulta in tal modo rimessa in discussione l’ossatura stessa delle linee guida di indirizzo.

I partecipanti alla consultazione avranno 30 giorni dalla pubblicazione dell’avviso in Gazzetta Ufficiale per far pervenire le loro osservazioni via posta ordinaria o via email semplice a protocollo@gpdp.it oppure via pec a protocollo@pec.gpdp.it. Decorsi i 30 giorni, “il Garante si riserva di adottare ulteriori determinazioni o, in caso di mancata adozione di ulteriori determinazioni”, l’efficacia del documento di indirizzo viene automaticamente differita al sessantesimo giorno successivo la scadenza del termine per la presentazione dei contributi richiesti nell’ambito della consultazione medesima“.

Tutto bene dunque? È certamente positivo che il Garante abbia scelto di aprirsi alle osservazioni di “datori di lavoro pubblici e privati, esperti della disciplina di protezione dei dati e tutti i soggetti interessati” e che abbia optato per un approccio di prudenza su punti strutturali, per quanto le opinioni che saranno espresse dai partecipanti alla consultazione non “precostituiscono alcun titolo, condizione o vincolo” rispetto al Garante.

Il punto è che la pubblica consultazione non appare in sé idonea a sanare la situazione. Anche nell’irrealistica ipotesi che restituisca non un coacervo di posizioni diverse, ma una limpida convergenza di dottrina e interessati su un chiaro termine di conservazione, resta intatto il problema di compatibilità con il Regolamento di una durata del trattamento imposta preventivamente al titolare.

I termini di conservazione dei dati personali non possono essere stabiliti da altri a maggioranza né essere stabiliti dall’autorità di controllo in base all’opinione dei più, ma competono ex art. 5 GDPR unicamente al titolare del trattamento, a cui si chiede soltanto che siano congrui al conseguimento della finalità di raccolta, che ciascun titolare, individualmente, definisce e di cui, altrettanto individualmente, risponde.

Rimangono in definitiva immutate le perplessità sulle ragioni stesse dell’intera operazione di ricerca di termini imposti ex auctoritate.

Per la verità, anche la sottolineatura che l’efficacia del documento di indirizzo si intende sospesa fino, al più tardi, a sessanta giorni determina, a ben guardare, più incertezze di quante ne risolva, perché prolunga, a parere dello scrivente, un equivoco sulla vera natura del provvedimento di indirizzo, che non ha e non può avere le caratteristiche di un atto vincolante.

Manca di una base giuridica per esserlo, e, anche nell’ipotesi in cui lo fosse, dovrebbe recare termine e mezzo di impugnazione e offrirsi in tal modo alla verifica in sede giudiziaria.

L’art. 25 GDPR, un piccolo off-topic

In chiusura, e con un piccolo e spero perdonabile off-topic (ma non del tutto off), sia anche permesso osservare che l’art. 25 GDPR, ossia la disposizione che impone il principio della data protection by design e by default, pur richiamato più volte nel provvedimento citato – e alla cui osservanza è tenuto il titolare del trattamento, che deve comprovarlo, accountability ancora una volta – riceve applicazione disomogenea da parte del Garante, il che, è lecito desumerne, non contribuisce a una corretta comprensione della sua reale portata da parte dei consociati.

Infatti, da anni ormai l’art. 25 GDPR viene violato palesemente e quotidianamente da alcuni editori di testate giornalistiche online, senza che si intervenga.

Diciamolo qui chiaramente: i paywall – oltre a essere incompatibili con l’art. 7, ult. par. GDPR o in alternativa, e non è meno grave, a far figurare surrettiziamente come base “consenso” una base “contratto” – altro non sono che profilazione by default, alla quale ci si può sottrarre solo pagando un prezzo in denaro.

Questo è infatti il paywall: io ti profilo e ti faccio profilare (spesso da network di centinaia di terze parti, con trasferimento di dati in violazione del Capo V GDPR), oppure paghi. È lecito chiedere, rispettosamente, perché non si intervenga su violazioni così macroscopiche.

Eppure, la profilazione by default è, alla lettera, l’opposto della data protection by default, e ha innescato ormai un processo di disgregazione, probabilmente irreversibile, delle basi stesse del Regolamento.

La profilazione by default è infatti diventata pratica diffusa per note piattaforme social e ha capacità espansiva potenzialmente illimitata. Con la stessa logica, potremmo infatti avere profilazione by default per strutture sanitarie, scolastiche, banche, per professionisti, a meno di non corrispondere appunto un supplemento di prezzo.

Viene qui in evidenza un meccanismo evidentemente distruttivo dell’impianto unionale. E tuttavia, il paywall continua a essere praticato.