Dipendenti e conservazione dei “metadati”: la versione definitiva del documento di indirizzo del Garante tra Data Protection e diritto del lavoro
Il 21 dicembre 2023 (Registro dei provvedimenti n. 642 del 21 dicembre 2023) il Garante per la protezione dei dati, ha pubblicato un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, in cui si è pronunciato fornendo indicazioni di portata generale destinate a datori di lavoro e fornitori delle soluzioni software di gestione della posta elettronica adoperati dai dipendenti nell’esercizio della prestazione lavorativa.
Si tratta di un tema complesso, anche in ragione del fatto che i destinatari del Provvedimento, per dare seguito alle indicazioni dell’Autorità si trovano a dover verificare – ed eventualmente rivedere completamente – gli strumenti da loro adottati, al fine di poter limitare i tempi di conservazione di quelli che sono stati definiti “metadati”. Situazione acuita dal fatto che, come emerge dalla stessa analisi effettuata dal Garante, alcuni sistemi di gestione della posta elettronica non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei “metadati” e/o ridurne il periodo di conservazione.
A fronte di queste ed ulteriori difficoltà, la stessa Autorità lo scorso 16 marzo 2024 ha indetto una consultazione pubblica al fine di poter trovare un compromesso fra le difficoltà dei fornitori e dei titolari nel dar seguito alle sue indicazioni e la tutela degli interessati del trattamento, ossia i dipendenti, che utilizzano i servizi di comunicazione mediante posta elettronica per lo svolgimento della propria attività lavorativa (qui trovate un nostro precedente approfondimento sul documento ante consultazione).
Recepite le osservazioni e le proposte pervenute nell’ambito della consultazione, il Garante ha pubblicato sul proprio sito un nuovo documento in data 14 giugno 2024 (registro dei provvedimenti n. 364 del 6 giugno 2024). Il testo – che afferma espressamente, diversamente dalla prima versione dello stesso, di non prescrivere nuovi adempimenti e responsabilità in capo al titolare del trattamento – non ha carattere precettivo, per quanto all’interprete non possa che apparire il contrario, ma si limita ad instradare il datore di lavoro nel corretto trattamento e conservazione dei “metadati” di posta elettronica, nel rapporto con il dipendente.
- La nozione di “metadati”
La prima parte del documento è incentrata sulla nozione di “metadati”, arricchita e corretta rispetto a quanto indicato nella prima versione del documento. Questi sono definiti come le informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta (MTA: Mail Transport Agent) e dalle postazioni nell’interazione che avviene tra i diversi server interagenti (MUA: Mail User Agent). Tali informazioni, relative alle operazioni di invio e ricezione e smistamento dei messaggi, possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto. Essi presentano la caratteristica di essere registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’Utente.
I metadati, come intesi nel documento d’indirizzo, precisa il Garante, non vanno poi in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica ovvero con il corpo del messaggio né con la cd. “envelope”. Quest’ultima si configura come l’insieme delle intestazioni tecniche strutturate che contengono l’instradamento del messaggio, come la sua provenienza ed i profili tecnici dello stesso. Tali informazioni, per quanto corrispondano ai “metadati” registrati automaticamente nei log, sono inscindibili dal messaggio e ne fanno parte restando sotto l’esclusivo controllo dell’utente, che sia questi il mittente o il destinatario.
Il Garante, nel corso delle sue analisi, ha dedicato altresì una riflessione al “contenuto” dei messaggi di posta elettronica, definendolo come il “corpo della mail”. Al riguardo l’Autorità ricorda, pertanto, che, alla stregua di qualsiasi altra corrispondenza, le comunicazioni svolte nel corso dell’attività lavorativa devono vedersi tutelate, oltre che dalle garanzie di cui al diritto del lavoro, anche da quelle di cui agli artt. 2 e 15 della Costituzione, volti a preservare la segretezza delle stesse.
Ristabilendo il focus sui metadati oggetto del Provvedimento, il Garante ha confermato in questa successiva analisi che, anche la raccolta sistematica di questa tipologia di dati, configura un vero e proprio trattamento e, come tale, deve rispettare i principi cardine di cui alla normativa applicabile.
- Le indicazioni del Garante per il lecito trattamento dei “metadati”
Alla pari di un qualsiasi trattamento, dunque, perché possa dirsi lecito devono essere rispettati i principi cardine di cui agli artt. 5, 24, e 25 del Regolamento UE 679/2016 (“GDPR”), il titolare è inoltre tenuto a porre in essere tutti gli adempimenti rubricati agli artt. 12, 13, 14, 30, 32 e 35 del GDPR.
Il datore di lavoro – nella sua qualità di titolare del trattamento – deve verificare la sussistenza di un idoneo presupposto di liceità (artt. 5 par 1. lett. a) e 6 GDPR), prima di effettuare trattamenti sui dati personali dei dipendenti, rispettando le condizioni per il lecito impiego di strumenti tecnologici nel contesto lavorativo.
Il trattamento deve essere svolto in modo trasparente nei confronti degli interessati, a cui deve essere fornito un documento informativo avente ad oggetto una chiara rappresentazione delle complessive caratteristiche del trattamento (specificando i tempi di conservazione dei dati, gli eventuali controlli, ecc.).
Nel caso di specie, dunque, il datore di lavoro dovrà individuare le finalità del trattamento (ad esempio finalità connesse alla sicurezza informatica e alla tutela del patrimonio informatico, finalità che a parere dello stesso Garante giustificano la conservazione dei metadati per un ”arco temporale congruo rispetto all’obiettivo di rilevare e mitigare eventuali incidenti di sicurezza, adottando tempestivamente le opportune contromisure”) ed escludere dal trattamento i dati che non sono oggetto di specifiche finalità perseguite nell’esercizio del rapporto di lavoro e rispetto alle quali i dipendenti non sono stati adeguatamente informati. Inoltre, dovranno essere correttamente individuate le modalità d’uso degli strumenti adoperati per lo svolgimento delle prestazioni lavorative. È altresì essenziale che questi elementi informativi sostanziali siano sottoposti all’interessato prima che il trattamento abbia inizio.
Il datore di lavoro deve inoltre adottare misure che siano volte ad assicurare il rispetto dei principi della protezione dei dati ai sensi dell’art. 25 GDPR, ossia la protezione dei dati sin dalla progettazione del trattamento e per impostazione predefinita (i principi di privacy by design e privacy by default).
Come si declina questa indicazione nel caso di specie?
Secondo il Garante, avviando un dialogo con i fornitori al fine di integrare ulteriori misure e garanzie adeguate alla tutela dei diritti e delle libertà degli interessati, prevedendo, inter alia, la possibilità per il datore di lavoro stesso di selezionare quali dati raccogliere e trattare per impostazione predefinita, nonché di impostare una limitazione dei termini di conservazione per mezzo del servizio di posta elettronica messo a disposizione dal fornitore.
Pertanto, il datore di lavoro, al fine di porre in essere le adeguate misure per il trattamento e la conservazione dei “metadati”, non dovrà unicamente informare i dipendenti, ma nella sua qualità di titolare del trattamento, seguendo il principio di accountability, dovrà:
- individuare il fornitore più adeguato, alla luce delle idonee garanzie prestate dallo stesso, per la somministrazione del servizio della gestione delle caselle di posta elettronica;
- verificare che quest’ultimo garantisca la possibilità di trattare e conservare i “metadati” nei termini indicati dal titolare, in ragione delle finalità perseguite e debitamente indicate ai dipendenti;
- dato questo termine o comunque la necessità di una conservazione quanto più limitata della predetta tipologia di dati, il datore di lavoro dovrebbe verificare che il fornitore del servizio di posta elettronica consenta una cancellazione degli stessi nei termini indicati; ed eventualmente, identificare in che modo il titolare possa modificare le impostazioni di base del programma informatico al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi;
Dall’altro lato, il fornitore selezionato dovrebbe consentire al titolare di poter cancellare o limitare la conservazione dei “metadati” al fine di poter dare seguito alle indicazioni di cui all’ultimo provvedimento dell’Autorità.
- I termini di conservazione dei “metadati”
Uno dei punti di maggiore attenzione posti dal Garante, nonché oggetto principale dei contributi pervenuti in sede di consultazione pubblica, è stato il periodo di conservazione dei “metadati”.
L’Autorità si è occupata di prolungare il termine inizialmente proposto con la prima versione del documento, pari a 7 giorni (inizialmente estendibile fino a 9 giorni, in caso di comprovate e documentate esigenze), fino ad un termine pari a 21 giorni, indicato comunque dal Garante, stante anche la precisata natura “ricognitiva” del documento come termine indicato “a titolo orientativo”. Il superamento di detto termine deve tuttavia essere adeguatamente giustificato dal titolare, applicando, se del caso, le garanzie di cui all’art. 4 comma 1 della L. 300/1970, nota come “Statuto dei Lavoratori” (accordo sindacale o autorizzazione dell’Ispettorato del Lavoro), richieste in caso di utilizzo di impianti audiovisivi (videosorveglianza) o altri “strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori”.
Nel dettaglio, si configurano tre distinte alternative per la lecita conservazione di questa categoria di dati:
- La prima situazione presa in esame riguarda il caso in cui in cui la conservazione dei metadati avvenga per un periodo non superiore a 21 giorni.
Il titolare, una volta accertato che il proprio fornitore consente la disattivazione delle funzioni che non sono compatibili con le proprie finalità (“assicurare il funzionamento delle infrastrutture del sistema della posta elettronica”), deve altresì verificare che questi consenta la cancellazione dei metadati trascorsi 21 giorni.
In questa ipotesi il Garante afferma che tale trattamento, salvo gli oneri informativi e di trasparenza anzi descritti, sia lecito e possa andare esente da ulteriori adempimenti considerato che troverebbe applicazione il comma 2 dell’art. 4 della L. n. 300/1970, che prevede non siano necessari gli adempimenti “autorizzativi” di cui al primo comma per gli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”. L’attività di raccolta e conservazione dei soli metadati/log necessari ad assicurare il funzionamento e la sicurezza delle infrastrutture del sistema della posta elettronica, verrebbe infatti considerata strumentale e indispensabile a rendere la prestazione lavorativa.
- La seconda ipotesi riguarda invero il caso in cui la conservazione dei metadati superi il termine dei 21 giorni.
In questo caso, ai fini della legittimità del trattamento, occorre verificate se a) sia possibile procedere con l’anonimizzazione dei “metadati” raccolti o, in assenza di detto presupposto, se sussistono b) comprovate e documentate esigenze del titolare stesso, in ragione delle specificità della realtà tecnica ed organizzativa del titolare. Nel caso in cui ricorrano una delle due condizioni anzi descritte, sarà possibile per il Titolare superare il termine di 21 giorni per la conservazione dei metadati anche in questo caso senza dover ricorrere ad ulteriori adempimenti, salvo l’adozione delle misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati. Ciò in quanto, comunque, lo strumento in esame, considerate alcune specificità del titolare, rimarrebbe esclusivamente deputato alla “esecuzione della attività lavorativa”.
- Da ultimo, laddove non ricorrano i presupposti di cui ai due punti precedenti (conservazione oltre i 21 giorni ma per finalità ulteriori al mero funzionamento e messa in sicurezza dei sistemi di posta, non giustificato dalle specificità della attività del titolare), il Garante afferma che il trattamento posto in essere dal datore di lavoro impedirebbe di considerare la conservazione dei metadati come parte integrante di uno strumento per rendere la prestazione lavorativa.
- Pertanto, ai sensi dell’art. 4 comma 1 dello Statuto del Lavoratori, sarà necessario procedere, a seconda dei casi, ad un accordo sindacale, o in mancanza di accordo o rappresentanze, con una richiesta di autorizzazione da parte della sede territoriale dell’Ispettorato nazionale del lavoro, o nel caso di imprese con unità produttive dislocate, alla sede centrale dell’Ispettorato nazionale del lavoro.
Spetta in ogni caso al titolare adottare tutte le misure tecniche organizzative volte ad assicurare il rispetto del principio di limitazione delle finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati con specifici atti di nomina che siano peraltro, adeguatamente istruiti oltre la tracciatura degli accessi effettuati nonché il rispetto dei principi di correttezza e trasparenza nei confronti dei lavoratori e che i lavoratori siano stati adeguatamente informati sul trattamento dei dati personali relativi alle comunicazioni elettroniche che li riguardano.
Il Garante ricorda inoltre che il rispetto delle garanzie summenzionate, oltre a comportare un adempimento di accountability del datore in ambito data protection permette allo stesso di utilizzare lecitamente le informazioni desumibili dalla gestione dei metadati “a tutti i fini connessi al rapporto di lavoro” ai sensi del comma 3 dello Statuto del Lavoratori.
- Conclusioni
Posto quindi il nuovo scopo, dichiarato espressamente dall’Autorità, orientativo, meramente ricognitivo e non prescrittivo del documento, l’impatto dello stesso sembrerebbe essere di molto ridimensionato rispetto alla sua versione antecedente alla consultazione.
In ogni caso, considerato anche quanto il provvedimento si rifaccia alla accountability dei titolari e alle loro valutazioni, nonché all’apertura di un potenziale “dialogo” con i fornitori, le effettive conseguenze di questo nuovo approccio al tema della conservazione dei metadati emergeranno solo a seguito delle prime, concrete, applicazioni pratiche delle nuove indicazioni del Garante.