Metadati: il Garante può davvero prescrivere termini di conservazione?

Partiamo dall’inizio. Il 6 febbraio scorso il Garante per la protezione dei dati personali rende pubblico un documento d’indirizzo in ambito giuslavoristico con cui definisce in sette giorni prorogabili di ulteriori 48 ore il termine massimo di conservazione dei metadati delle comunicazioni di posta elettronica dei dipendenti.

Il passaggio compare ex abrupto nel corso di una ricostruzione fino a quel punto ineccepibile.

Il provvedimento ha sollevato ampio dibattito, come prevedibile visti gli impatti. Ci si è chiesti innanzitutto quale fosse la motivazione del termine suddetto (perché proprio 7 giorni?), che non è dato rilevare nell’atto, e come possano essere separati i metadati dalle email, visto che per “metadati” si intendono, fra l’altro, “giorno, ora, mittente, destinatario, oggetto e dimensione dell’email”.

Quelli menzionati sono componenti essenziali della corrispondenza elettronica, senza i quali essa cessa di essere tale e si trasforma in testo sciolto, privo di destinatari, mittenti, data, oggetto, inutilizzabile come strumento di lavoro. Ne deriva l’impossibilità pratica di attuazione, per chiunque.

In attesa di un’auspicabile precisazione dell’Autorità, che ne perimetri verosimilmente ragioni e campo effettivo di applicazione (ad esempio a casi particolari di conservazione specifica e dissociata dei metadati, il che ad oggi non emerge dal provvedimento), sia permesso affrontare la questione più a monte: può il Garante prescrivere termini di conservazione dei dati personali?

Il provvedimento in maggiore dettaglio

Innanzitutto, esaminiamo più in dettaglio il provvedimento, cominciando dalla sua genesi. A preoccupare l’Autorità sono i fornitori di applicativi informatici in cloud che raccolgono “per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email), conservando gli stessi per un esteso arco temporale”.

La preoccupazione dell’Authority è commendevole, in un contesto dominato da giganti dell’informatica che impongono regole a tutti, preoccupandosi, talvolta, solo tangenzialmente della compatibilità normativa degli applicativi distribuiti sul mercato.

Tuttavia, oggetto del provvedimento del Garante non sono i grandi fornitori di software, a parte un garbato quanto incidentale invito nella parte finale. Avrebbero ben potuto esserlo, in qualità di responsabili del trattamento (raccolta dati personali in cloud), già individuati dall’Autorità, in merito ai quali si sospetta violazione dell’art. 32 GDPR.

Oggetto del provvedimento è invece la sterminata filiera a valle, i datori di lavoro, anche piccolissimi, che fanno uso di quegli applicativi, e spesso non possono realisticamente prescinderne.

Ora, la posta elettronica è pacificamente uno strumento utilizzato “dal lavoratore per rendere la prestazione lavorativa”, dunque è compreso nell’ambito applicativo dell’art. 4, co. 2 Stat. lavoratori, non richiede cioè preventivo accordo sindacale o autorizzazione dell’Ispettorato nazionale del lavoro.

È qui che interviene il ragionamento del Garante: allo scoccare di 7-9 giorni i metadati vanno cancellati, diversamente fuoriescono dall’alveo del secondo comma e vanno approvati/autorizzati ai sensi del primo comma.

Il passaggio tuttavia non convince sul piano logico, perché il fattore tempo non appare idoneo a modificare l’ontologia di uno strumento di lavoro. Se qualcosa è strumento di lavoro, tale resta, mentre l’ipotizzata eventuale eccessiva conservazione dei dati personali rileverà su altro piano, quello dell’art. 5.1.e) GDPR.

Veniamo con questo al tema principale: la competenza sull’osservanza dell’art. 5.1.e) GDPR è esclusivamente del titolare del trattamento, come indica il secondo paragrafo della disposizione unionale citata. È appunto il principio di accountability, o “responsabilizzazione”, richiamato peraltro anche nel provvedimento del Garante che ci occupa.

Il principio di accountability

Ebbene, accountability significa che è il titolare del trattamento, non il Garante, a determinare il termine massimo di conservazione dei dati personali e ad assumersene piena responsabilità. È un pilastro portante del Regolamento 2016/679 e non può essere messo in discussione.

Infatti, le disposizioni del GDPR che consentono una deroga all’art. 5 sono puntuali e circoscritte (es., art. 23 o art. 85 GDPR), e tra esse non figura l’art. 58, par. 6, ossia la previsione, declinata poi a livello nazionale nell’art. 154-bis cod. priv., su cui l’Authority ha costruito le linee guida di indirizzo qui in esame.

L’art. 58, par. 6 è norma di precisazione, non di deroga, cfr. altresì cons. 129: “Gli Stati membri possono precisare altri compiti”. Manca cioè il presupposto unionale per il potere esercitato dal Garante.

Manca altresì – ferma restando la prevalenza del Regolamento sulla legge nazionale – un presupposto normativo nello stesso codice privacy, dal momento che l’art. 154-bis, co. 1, lett. a) definisce, correttamente, il provvedimento di indirizzo del Garante come “linee guida”, dunque atto di illustrazione e ricostruzione della normativa, non atto di normazione secondaria.

Del resto, gli atti vincolanti delle autorità di controllo, per essere tali, devono recare una serie di elementi, tra cui la menzione del diritto a un ricorso effettivo per la loro impugnazione, a mente del considerando 129 GDPR, altrimenti sono appunto atti di illustrazione della disciplina applicabile, linee guida, pareri.

Ed effettivamente, tolto l’inserto precettivo relativo ai termini di conservazione di 7-9 giorni, il resto del provvedimento di indirizzo esaminato costituisce una pregevole linea guida.

In senso più generale, non pare potersi ravvisare un potere del Garante di sostituirsi al titolare del trattamento nell’applicazione dell’art. 5.2 GDPR neppure in ambito di videosorveglianza o di amministratore di sistema.

Va notato che perfino il legislatore nazionale, in ottemperanza alla regola dell’accountability, ha deciso nel 2018 di prescindere dall’allegato B, fino ad allora complemento essenziale del codice privacy.

Aggiornamento: avvio della consultazione pubblica

Con un provvedimento, un comunicato stampa e un avviso pubblico resi disponibili contestualmente in data 27 febbraio 2024, il Garante ha disposto:

  • l’avvio di una consultazione pubblica per raccogliere “osservazioni e proposte riguardo alla congruità” del termine di conservazione dei metadati, precedentemente indicato in 7-9 giorni, e “più in generale” sulle “forme e modalità di utilizzo di tali metadati”;
  • di “differire l’efficacia del documento di indirizzo”, che tuttavia non recava nessuna data di efficacia.

Risulta in tal modo rimessa in discussione l’ossatura stessa delle linee guida di indirizzo.

I partecipanti alla consultazione avranno 30 giorni dalla pubblicazione dell’avviso in Gazzetta Ufficiale per far pervenire le loro osservazioni via posta ordinaria o via email semplice a protocollo@gpdp.it oppure via pec a protocollo@pec.gpdp.it. Decorsi i 30 giorni, “il Garante si riserva di adottare ulteriori determinazioni o, in caso di mancata adozione di ulteriori determinazioni”, l’efficacia del documento di indirizzo viene automaticamente differita al sessantesimo giorno successivo la scadenza del termine per la presentazione dei contributi richiesti nell’ambito della consultazione medesima“.

Tutto bene dunque? È certamente positivo che il Garante abbia scelto di aprirsi alle osservazioni di “datori di lavoro pubblici e privati, esperti della disciplina di protezione dei dati e tutti i soggetti interessati” e che abbia optato per un approccio di prudenza su punti strutturali, per quanto le opinioni che saranno espresse dai partecipanti alla consultazione non “precostituiscono alcun titolo, condizione o vincolo” rispetto al Garante.

Il punto è che la pubblica consultazione non appare in sé idonea a sanare la situazione. Anche nell’irrealistica ipotesi che restituisca non un coacervo di posizioni diverse, ma una limpida convergenza di dottrina e interessati su un chiaro termine di conservazione, resta intatto il problema di compatibilità con il Regolamento di una durata del trattamento imposta preventivamente al titolare.

I termini di conservazione dei dati personali non possono essere stabiliti da altri a maggioranza né essere stabiliti dall’autorità di controllo in base all’opinione dei più, ma competono ex art. 5 GDPR unicamente al titolare del trattamento, a cui si chiede soltanto che siano congrui al conseguimento della finalità di raccolta, che ciascun titolare, individualmente, definisce e di cui, altrettanto individualmente, risponde.

Rimangono in definitiva immutate le perplessità sulle ragioni stesse dell’intera operazione di ricerca di termini imposti ex auctoritate.

Per la verità, anche la sottolineatura che l’efficacia del documento di indirizzo si intende sospesa fino, al più tardi, a sessanta giorni determina, a ben guardare, più incertezze di quante ne risolva, perché prolunga, a parere dello scrivente, un equivoco sulla vera natura del provvedimento di indirizzo, che non ha e non può avere le caratteristiche di un atto vincolante.

Manca di una base giuridica per esserlo, e, anche nell’ipotesi in cui lo fosse, dovrebbe recare termine e mezzo di impugnazione e offrirsi in tal modo alla verifica in sede giudiziaria.

L’art. 25 GDPR, un piccolo off-topic

In chiusura, e con un piccolo e spero perdonabile off-topic (ma non del tutto off), sia anche permesso osservare che l’art. 25 GDPR, ossia la disposizione che impone il principio della data protection by design e by default, pur richiamato più volte nel provvedimento citato – e alla cui osservanza è tenuto il titolare del trattamento, che deve comprovarlo, accountability ancora una volta – riceve applicazione disomogenea da parte del Garante, il che, è lecito desumerne, non contribuisce a una corretta comprensione della sua reale portata da parte dei consociati.

Infatti, da anni ormai l’art. 25 GDPR viene violato palesemente e quotidianamente da alcuni editori di testate giornalistiche online, senza che si intervenga.

Diciamolo qui chiaramente: i paywall – oltre a essere incompatibili con l’art. 7, ult. par. GDPR o in alternativa, e non è meno grave, a far figurare surrettiziamente come base “consenso” una base “contratto” – altro non sono che profilazione by default, alla quale ci si può sottrarre solo pagando un prezzo in denaro.

Questo è infatti il paywall: io ti profilo e ti faccio profilare (spesso da network di centinaia di terze parti, con trasferimento di dati in violazione del Capo V GDPR), oppure paghi. È lecito chiedere, rispettosamente, perché non si intervenga su violazioni così macroscopiche.

Eppure, la profilazione by default è, alla lettera, l’opposto della data protection by default, e ha innescato ormai un processo di disgregazione, probabilmente irreversibile, delle basi stesse del Regolamento.

La profilazione by default è infatti diventata pratica diffusa per note piattaforme social e ha capacità espansiva potenzialmente illimitata. Con la stessa logica, potremmo infatti avere profilazione by default per strutture sanitarie, scolastiche, banche, per professionisti, a meno di non corrispondere appunto un supplemento di prezzo.

Viene qui in evidenza un meccanismo evidentemente distruttivo dell’impianto unionale. E tuttavia, il paywall continua a essere praticato.

Paywall: un pericoloso ritorno al passato?

Ho parlato della liceità giuridica del paywall intervenendo (NB, collegamento a Youtube) all’interno di una nota rassegna di approfondimento curata da Matteo Flora, che ringrazio.

Paywall

Ma partiamo dall’inizio: innanzitutto che cos’è un paywall? E’ quel “banner cookie” che pone l’utente di fronte alla scelta tra pagare per la fruizione di un contenuto, per esempio un articolo di giornale, oppure accettare i cookie.

Letteralmente quindi un muro invalicabile, “wall”, che si può superare solo pagando, “pay”, o in denaro… o in dati personali. Bene, ma è consentito? Ad avviso di chi scrive, no. Vediamo insieme perché.

Possono essere usati i dati personali come strumenti di pagamento?

Proprio qui sta il punto: possono essere usati i dati personali come strumento di pagamento? Da sempre, la risposta, nella normativa sulla protezione dei dati personali*, è no. Pagare in dati personali è un avvilimento della persona, anche perché il consenso che viene richiesto è quello alla profilazione, all’uso cioè di cookie di tracciamento che cercano di comprendere le scelte dell’utente, le sue preferenze, i suoi bisogni per indirizzargli messaggi mirati.

A ben vedere, tutto il ragionamento, che è complesso, diventa più semplice se si tengono ben fermi due capi concettuali, ossia:

  1. il consenso è, per espressa previsione di legge (ved. qui sotto), la base giuridica esclusiva;
  2. la profilazione non ha alcuna coerenza con i contenuti fruiti.

Guardiamo rapidamente entrambi i punti, perché sono le leve che spostano la questione.

Unica base: il consenso

Eccoci davanti a una norma molto chiara, una volta tanto: l’art. 122, co. 1 codice privacy (d.lgs. 196/2003). La disposizione permette l’installazione di cookie (non tecnici) “unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso”. Si tratta dell’attuazione nazionale dell’art. 5, par. 3 direttiva 2002/58, più nota come direttiva “ePrivacy”, che stabilisce testualmente la stessa cosa.

Attenzione qui: parliamo di consenso, non di legittimo interesse. Qual è la differenza? Se la base è il legittimo interesse, a decidere di procedere o no al trattamento dei tuoi dati è il titolare del sito, previo test di bilanciamento (cd. “LIA”), che deve essere in grado di esibire. Se la base è il consenso, sei tu utente del sito a decidere. La differenza è sostanziale, perché sposta da un soggetto all’altro il fulcro del potere di innescare la profilazione. Questo ha previsto il legislatore, e andrebbe osservato.

Ora, il consenso “privacy” è una cosa seria. Per essere un consenso autentico e non un sì meccanico occorre – anche questo lo impone il legislatore – che sia informato, libero e incondizionato. Sono, insieme ad altri, i requisiti che leggiamo all’art. 7 GDPR, e sono parzialmente diversi da quelli prescritti dal diritto civile di tradizione romanistica, nel senso che il registro a cui attenersi in ambito “privacy” è molto più sensibile. Calando il tutto nella pratica: se negando il consenso perdo occasioni, il consenso è condizionato. Dunque: se non posso fruire del tuo sito, e perdo quindi (negando il consenso) un contenuto che vorrei, il consenso non è libero.

Ora, per mettere a fuoco il quid decisivo, spostiamoci sul secondo elemento della coppia che avevamo introdotto: la profilazione arbitraria, perché è con questo secondo elemento che divengono veramente chiari il significato, il peso e l’oggetto di questo consenso.

La profilazione

Ricordiamo una cosa: stiamo parlando di cookie non tecnici, ossia – semplificando – di cookie di profilazione. Ora, la domanda è semplice: che cosa c’entra la profilazione con la lettura di un articolo di giornale o la fruizione di un sito di avvocati o la consultazione del meteo? Nulla.

Questi siti vogliono farsi pagare – supponiamo – per i contenuti che offrono? Nessun problema: pongano allora l’alternativa secca tra il non fruire i loro contenuti o il fruirne a pagamento. Ma fornire la controprestazione con i dati personali che cosa c’entra?

La verità è che l’alternativa secca toglierebbe molto traffico ai siti, perché un numero (molto) limitato di utenti sarebbe disposto a pagare, anche per la semplice ragione di buon senso che non si può pagare qualsiasi proposta di servizio si incontra in rete, peraltro a scatola chiusa. Dunque, si conta sul fatto che l’utente alla fine pagherà in dati, non potendo/volendo farlo in denaro, e il sito monetizzerà sulla profilazione, ossia sul mercato di quei dati.

Per capire quanto sia avvilente il meccanismo, immaginiamo di trasporlo nel mondo reale: supponiamo che invece di pagare il biglietto del cinema ti venisse proposto di farti montare sulle spalle una serie di telecamere che ti seguono nei vari nodi dei tuoi spostamenti. Se lo scegli, deve essere in totale libertà, questo ti garantisce il legislatore. Ti garantisce di non farlo per una contropartita economica. La privacy non può divenire una tutela per soli abbienti, mentre il resto della popolazione girerà con telecamere montate sulle spalle (è solo un’immagine naturalmente).

Vogliamo davvero un mondo di paywall?

Immaginiamo ora che il paywall, oggi chiaramente vietato (vedasi art. 122 cod. priv. e Linee guida 5/2020 EDPB, §§ 38, 39), divenga libero. Immaginiamo cioè che oltre ad alcuni giornali online lo adottino tutti.

Perché no, in fondo? I cookie wall (di cui i paywall sono una declinazione) popolavano fino a poco tempo fa la rete, come tutti ricorderete. Ogni sito era un check point: o mi dai i dati oppure non entri. Col paywall, abbiamo solo aggiunto una terza ipotesi: “oppure paghi”. E’ un’ipotesi perfino peggiore, perché discrimina sul censo. Se, in questo scenario (verosimile) di diffusione a macchia d’olio dei paywall, ci verrà chiesto, a ogni passo nella rete, a ogni singolo sito visitato, di pagare una somma sia pur modesta (ma capite che il totale modesto non è), la navigazione diverrà per i più insostenibile.

Non solo economicamente, anche sotto il profilo dell’esperienza utente.

Dunque i più, per convenienza economica o per speditezza di navigazione, accetteranno di farsi montare telecamere sulle spalle (sempre, beninteso, virtualmente) e noi avremmo compiuto uno dei più grandi balzi indietro nella tutela dei diritti fondamentali.

* L’asterisco di cui sopra

Spieghiamo adesso l’asterisco all’inizio di questo articolo. La normativa sulla protezione dei dati personali a me pare molto chiara sul no al paywall. Alcune assai rispettabili posizioni giuridiche di segno diverso danno tuttavia speciale rilievo alla normativa consumeristica, che invece consentirebbe di pagare un servizio con dati personali. Ciò in particolare si evincerebbe dall’art. 138-octies, co, 4 cod. consumo.

Tuttavia, in quella disposizione non leggiamo assolutamente la parola “controprestazione”, che è stata infatti espressamente – e, sia permesso notarlo, non a caso – eliminata dalla fonte europea, a monte. Il codice del consumo opera nel suo settore di competenza, e terrà conto della libertà del consenso “privacy” dell’interessato consumatore.

Come mai non c’è scritto più “controprestazione”? Perché l’art. 138-octies costituisce la trasposizione nazionale dell’art. 3, par. 1 direttiva (UE) 2019/770. Ora, è avvenuto che l’EDPS, ossia l’omologo per la UE del nostro Garante, nell’opinione istituzionale 4/2017 aveva infatti chiesto espressamente di eliminarla dal testo inziale (tecnicamente “proposta di direttiva”): “The EDPS recommends avoiding the use of the notion of data as counter-performance in the Proposal” (§ 14).

Così infatti è stato e trattasi di scelta del legislatore di cui il giurista non può non tenere conto in ambito ermeneutico: non credo cioè sia consentito far rientrare in via interpretativa ciò che è stato espressamente eliminato in via normativa. A ben vedere, stiamo cioè parlando di un vecchio dibattito già risolto anni fa a seguito dell’intervento dell’EDPS e che oggi ci raggiunge semmai come la luce di una stella lontana che in realtà si è spenta da tempo.

Il parere dell’EDPS merita di essere letto a fondo per riportare la dialettica tra la normativa sui dati personali e quella consumeristica in un rapporto equilibrato. In chiusura, cito ancora dall’opinione menzionata questo passaggio, insolitamente forte nei toni (evidentemente ne abbiamo bisogno), ma efficace, § 17: “There might well be a market for personal data, just like there is, tragically, a market for live human organs, but that does not mean that we can or should give that market the blessing of legislation”. Ossia:

Può ben esistere un mercato dei dati personali, così come esiste, tragicamente, un mercato degli organi umani, ma questo non vuol dire che noi possiamo o dovremmo dare a tale mercato la benedizione della liceità normativa