Avevamo già scritto in questo blog a proposito del documento d’indirizzo del Garante per la protezione dei dati personali, datato 21 dicembre 2023, n. 642 in materia di metadati delle comunicazioni di posta elettronica dei dipendenti, evidenziandone punti di forza ma anche di notevole debolezza giuridica.
Il contesto del nuovo documento d’indirizzo
Soprattutto, colpivano alcune incompatibilità strutturali con il GDPR, prima tra tutte la compromissione del principio di accountability del titolare. Per i cultori della materia, il principio in parola è inviolabile: se lo si incrina, si incrina la struttura portante del Regolamento.
La posizione del Garante aveva inoltre destato ampia perplessità anche nel mercato, per l’indeterminatezza del perimetro oggettivo di applicazione. Infatti, in mancanza di precisazioni (poi pervenute, ved. sotto), qualsiasi componente descrittivo di un messaggio di posta elettronica, come l’oggetto, il mittente, il destinatario, poteva considerarsi catturato nel raggio applicativo.
Come tale, avrebbe dovuto, secondo il Garante, essere cancellato entro un termine strettissimo, compromettendo evidentemente il funzionamento di qualsiasi realtà aziendale. Veniva infatti introdotto un obbligo di cancellazione dei metadati delle email dei dipendenti decorsi soli 7 giorni dall’acquisizione, senza peraltro motivazioni a supporto che permettessero di comprendere una determinazione così esatta del parametro temporale.
Il provvedimento, del resto, aveva chiara natura precettiva, pur non sostenuta da un’idonea base giuridica, aprendo così a incertezze e prospettiva di contenzioso. Per un’analisi più dettagliata, si rimanda anche all’articolo Metadati delle e-mail dei dipendenti: il punto sul provvedimento del Garante sottoposto a consultazione pubblica, pubblicato dallo scrivente per la rivista ICT Security Magazine.
La pertinenza delle obiezioni ricevute da mercato e giuristi, aveva poi determinato l’Autorità di controllo a sospendere opportunamente l’applicazione e a indire una consultazione pubblica.
Ne è risultato un testo ampiamente modificato, e migliorato, reso disponibile qualche giorno fa, cfr. GPDP, documento d’indirizzo 6 giugno 2024, n. 364. Esaminiamone i tre punti essenziali.
I tre punti chiave del nuovo documento
A voler sintetizzare, i punti chiave del provvedimento novellato sono i seguenti:
- limitazione dei metadati oggetto di disciplina (perimetro oggettivo)
- estensione del termine di conservazione
- eliminazione del valore precettivo del provvedimento
Esaminiamoli nell’ordine, considerandone altresì le implicazioni meno evidenti.
Quali metadati
Rispetto alla posizione del dicembre 2023, il Garante ha ristretto molto il perimetro. Il documento di indirizzo si applica infatti oggi soltanto a:
le informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client (le postazioni terminali che effettuano l’invio dei messaggi e che consentono la consultazione della corrispondenza in entrata accedendo ai mailbox elettroniche, definite negli standard tecnici quali MUA – Mail User Agent)
I metadati in questione “presentano la caratteristica di essere registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utilizzatore”. Si tratta di informazioni registrate al solo fine di garantire il corretto funzionamento dei sistemi di smistamento delle e-mail.
Sono dunque esclusi sia i metadati dell’envelope del messaggio di posta elettronica sia quelli in esso incorporati, dunque, è da ritenere, tanto nel body quanto nell’header.
Con ciò restano salvi contenuti delle caselle mailbox dei dipendenti. E’ una precisazione rilevante, viste le preoccupazioni che la prima formulazione aveva, giustamente, sollevato.
Implicazioni: tutto risolto dunque? Non esattamente. Nonostante la drastica riduzione del perimetro dichiarato, è palese al giurista che l’impianto del complessivo ragionamento giuridico del Garante si applica a tutti i metadati, senza alcuna distinzione interna tra log dei server e altri metadati. E’ solo il termine di 21 giorni che riguarda esclusivamente i primi. Veniamo appunto a tale termine.
Conservazione a 21 giorni
La parte centrale nel nuovo testo ripete, con pochi ritocchi, l’ampio apparato di considerazioni giuridiche già esposto in quello precedente. La sola vera novità di rilievo è che il termine di conservazione dei metadati, inizialmente fissato in 7 giorni, è stato moltiplicato per tre e dichiarato valido “a titolo orientativo”. Restano intatti gli oneri di motivare scostamenti a rialzo.
Implicazioni: va premesso che non esiste alcuna ragione esplicitata per il numero 21, pur nel ristretto contesto della finalità di corretto funzionamento dei sistemi di smistamento e gestione della posta elettronica. La mancanza di un supporto motivazionale logico-giuridico rende arbitraria, dunque oggettivamente debole, l’individuazione del termine da parte del Garante. Tuttavia, ci si deve attendere che l’Autorità tenderà a sanzionare chi supera la “soglia 21”.
L’investimento dei titolari del trattamento nel motivare un termine oltre soglia appare fortemente disincentivato dal rischio di sanzione. Questo ci porta al terzo punto: il valore precettivo o non precettivo del documento d’indirizzo.
La natura non precettiva del provvedimento
Teniamo fermo un punto: dal combinato disposto del GDPR e del Codice privacy è palese che i documenti di indirizzo del Garante non hanno valore vincolante. Si rimanda per maggiori spiegazioni all’articolo Metadati: il Garante può davvero prescrivere termini di conservazione? in questo blog. Come tali, il documento d’indirizzo non può neppure essere impugnato con gli strumenti di ricorso del Regolamento generale sulla protezione dei dati.
Ora, la versione novellata del 6 giugno scorso ripete a più riprese la suddetta natura di mera interpretazione e non reca più, come in passato, i passaggi assimilabili a “dispositivo”. Sul punto, l’Autorità di controllo sembra dunque avere recepito interamente le osservazioni della dottrina.
Tuttavia, quali sono le implicazioni della mancata osservanza del termine di cancellazione dei log dopo 21 giorni? Le implicazioni sono, prevedibilmente, l’innesco di un procedimento di misure correttive e/o sanzionatorie, a meno che il titolare non dimostri convincentemente di avere motivato la previsione di un termine più ampio di conservazione, ma è una dimostrazione chiaramente sfavorita dalla sussistenza di una presunzione contraria da parte della stessa Amministrazione che deve valutarla.
In realtà, la fissazione di un termine così preciso numericamente (21 giorni) introduce una nuova regola, che erode sostanzialmente l’accountability del titolare e crea una confusione tra il ruolo di garanzia dell’Autorità e un ruolo legislativo.
Ogni volta che un nuovo termine di conservazione molto preciso viene introdotto e che l’inosservanza dello stesso determina conseguenze correttive e/o sanzionatorie, è chiaro, nonostante le apparenze, che ci si trova di fronte a una fonte normativa secondaria, senza neppure il conforto di uno strumento diretto di impugnazione nel GDPR.
Conclusioni
L’analisi giuridica condotta dal Garante nel documento, che collega Statuto, Codice privacy e GDPR ha certamente grande pregio, che la si condivida interamente oppure no.
Tale analisi, come già notato, ha per sua stessa natura applicazione generale, dunque non riguarda solo i log dei server recanti metadati dei messaggi di posta elettronica dei dipendenti. E’ giusto evidenziarlo, per evitare pericolose letture riduttive da parte del mercato.
Quanto al termine di 21 giorni, valido per i soli log dei server, esso costituisce introduzione, indebita a parere di chi scrive, di un contenuto sostanzialmente precettivo in un documento che per collocazione giuridica ed espressa ammissione dell’Amministrazione non può esserlo. I soggetti considerati trasgressori potranno, in ogni caso, trovare, con opportuna assistenza legale, una solida linea di difesa costruita sul GDPR.