11.03.2024 Icon

La posizione del Garante sui «metadati» della posta elettronica

Da qualche giorno il Garante per la protezione dei dati personali ha pubblicato il documento di indirizzo dal titolo “Programmi e servizi informatici digestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (provv. n. 642 del 21 dicembre 2023).

Si tratta di un provvedimento che ha sollevato non poche perplessità poiché la sua applicazione, secondo alcuni, porterebbe ad una gestione della posta elettronica aziendale non solo niente affatto coerente con i principi del GDPR, ma assolutamente contraria a buon senso, se non addirittura del tutto impraticabile.

Lo stesso Garante, ricevute molte richieste di chiarimento, è intervenuto con nuovo provvedimento del 22 febbraio scorso (n. 127/2024), con cui ha differito l’efficacia del documento di indirizzo e ha avviato una consultazione pubblica per raccogliere osservazioni.

La disposizione “incriminata”

In estrema sintesi il documento di indirizzo prende in considerazione i metadati della posta elettronica, quali, ad esempio, «giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail». Dispone poi che l’attività di raccolta e conservazione dei «metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica», non può essere superiore di norma a poche ore o ad alcuni giorni, in ogni caso «non oltre sette giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore»[1].

Cosa sono i metadati

I metadati di una e-mail sono tutti quei dati che accompagnano il testo dell’e-mail e che sono direttamente forniti dal mittente o sono raccolti e gestiti dal sistema di posta elettronica per fornire il servizio.

Chiamiamo i primi “metadati utente” e i secondi “metadati tecnici”.

Metadati Utente (tipicamente in dati nell’header): mittente, destinatario, data e ora dell’invio, oggetto, campi CC, CCN, indirizzi di risposta e redirect, priorità, esistenza di allegati, ecc.

Metadati Tecnici: ID del messaggio, indirizzo IP del router di smistamento, dati di formattazione, posizione del messaggio nel thread di conversazione, termine di cancellazione del messaggio, dimensione del messaggio, data di creazione e modifica del messaggio, data di consegna e ricezione del messaggio ai server di smistamento, rilevazione di errori o rischi sicurezza, attribuzione di etichette di security, ecc. (N.B.: diversi sistemi di posta elettronica possono avere, in parte, diversi metadati tecnici)

Di quali metadati si occupa il Garante?

La domanda non è di immediata risposta.

Ad una prima occhiata, si potrebbe dire che il Garante non fa distinzione e che considera i “metadati” della posta elettronica come un unicum, per cui i datori di lavoro si dovrebbero sbarazzare di tutti i Metadati Utente e di tutti i Metadati Tecnici entro sette giorni dalla generazione (estensibili a nove giorni in casi di comprovata necessità).

Ciò, non solo tradisce il principio di accountability (art. 5.1 GDPR), per cui il termine dovrebbe deciderlo il titolare, ma pare davvero contrario ad una buona amministrazione dell’impresa. Se dalla mia posta fossero di fatto deindicizzate tutte le e-mail in entrata e uscita dopo solo sette giorni, il mio lavoro ne risentirebbe non poco! Senza contare che spesso i sistemi di posta elettronica sono sincronizzati con altri sistemi modulari (gestionali, archivi storici, log del provider, calendario) per cui la cancellazione dei metadati dovrebbe essere fatta anche su tutti tali sistemi generando a cascata una inefficienza gestionale francamente inaccettabile.

Ad una seconda occhiata, tuttavia, il documento di indirizzo del Garante fa espresso riferimento non a tutti i Metadati, ma specificamente ai

«soli c.d. metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica».

Tale inciso, è perfettamente compatibile con quanto indicato nel primo paragrafo del documento di indirizzo allorché il Garante definisce i metadati, ma lo fa solo in via esemplificativa, citando «giorno, ora, mittente, destinatario, oggetto e dimensione dell’email».

Tra tali dati, forse solo la «dimensione dell’e-mail» potrebbe essere considerato un Metadato Tecnico, necessario quindi «ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica». Tutti gli altri sono Metadati Utente che, a mio avviso, non rientrano nel novero dei dati soggetti a cancellazione dopo sette giorni[2].

Interpretazione coerente del documento di indirizzo

Che senso avrebbe, nella logica del Garante, preoccuparsi di cancellare i metadati in generale, ma lasciare integro il corpo della e-mail? Che senso avrebbe cioè disporre l’obbligo di cancellazione dell’oggetto e dell’orario di ricezione di una e-mail, lasciando tuttavia la facoltà di conservare il testo nel quale potrebbero essere indicati dati particolari assai più delicati riguardanti, per esempio, la salute o le opinioni politiche del mittente e del destinatario?

L’unico modo per ricondurre a coerenza e ragionevolezza il documento di indirizzo del Garante è di interpretarlo distinguendo i Metadati Utente dai Metadati Tecnici, questi ultimi in gestione al provider che agisce quale responsabile del trattamento per conto del datore di lavoro.

In tale prospettiva, tutti i metadati (sia Tecnici che Utente) sarebbero soggetti all’art. 4, comma 2, dello Statuo dei Lavoratori, con la distinzione che i Metadati Utente potrebbero essere conservati a lungo in un’ottica di tutela giudiziaria del titolare (due anni?[3]), mentre i Metadati Tecnici dovrebbero essere conservati per un tempo assai più breve al solo scopo di effettuare eventuali indagini e interventi di security.

In via residuale deve sottolinearsi che la legittima necessità del titolare datore di lavoro di assicurare la conservazione dei messaggi di posta elettronica, è assicurata, in primo luogo, dalla predisposizione di sistemi di gestione documentale con i quali, attraverso l´adozione di appropriate misure organizzative e tecnologiche, si possono individuare i documenti che nel corso dello svolgimento dell´attività lavorativa devono essere via via archiviati con modalità idonee a garantire le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità prescritte dalla disciplina di settore applicabile[4]

Ebbene, i sistemi di posta elettronica, per loro stessa natura, non consentono di assicurare tali caratteristiche e non possono quindi essere utilizzati per la conservazione decennale di cui all’art. 2220 c.c. Pertanto, lo scopo di predisporre strumenti per l’ordinaria ed efficiente gestione dei flussi documentali aziendali può ben essere perseguito – conformemente alle disposizioni vigenti oltre che più efficacemente – con strumenti meno invasivi per il diritto alla riservatezza dei dipendenti e dei terzi, rispetto alla attività di sistematica ed estesa conservazione delle comunicazioni elettroniche, che risulta pertanto non necessaria né proporzionata rispetto allo scopo.

Conclusioni

Benché la posizione del Garante sui metadati abbia suscitato alcune perplessità, ad opinione di chi scrive non si tratta di un provvedimento “lunare”, ma coerente con l’equilibrio tra esigenze aziendali e tutela dei diritti costituzionali dei dipendenti.

In tale prospettiva, e alla luce di quanto fin qui esposto, la ripartizione dei termini di conservazione della posta elettronica dovrebbe essere intesa come segue:

  • sette giorni (più eventuali quarantotto ore) per i soli Metadati Tecnici, reali protagonisti del provvedimento (dati di envelope, generalmente presso il provider del servizio di posta), per quanto rimetterei la decisione sul termine al titolare in ossequio al principio di accountability;
  • qualche mese, con tutte le riserve del caso, per i Metadati Utenti compreso il message body, al fine di assicurare la continuità aziendale;
  • dieci anni per i messaggi di posta elettronica con rilevanza giuridica conformemente alle disposizioni normative sulla conservazione documentale, al fine di garantire l’integrità e la tracciabilità delle comunicazioni aziendali (ma conservati solo con sistemi di conservazione documentali adatti allo scopo, e quindi non certo conservati nel cloud di posta elettronica).

[1] Questo termine di sette giorni non è nuovo nei provvedimenti di Garante. Già nel 2016 (provv. 303 del 13 luglio 2016) – a proposito di «sistemi software che consentono, con modalità non percepibili dall’utente (c.d. in background ) [di compiere] operazioni di “monitoraggio”, “filtraggio”, “controllo” e “tracciatura” costanti ed indiscriminati degli accessi a Internet o al servizio di posta elettronica» – l’Autorità riteneva che, con specifico rifermento «ai sistemi di logging per il corretto esercizio del servizio di posta elettronica», i «dati esteriori, contenuti nella cosiddetta “envelope” del messaggio» dovessero essere conservati «per una breve durata non superiore comunque ai sette giorni».

[2][2] Da notare, peraltro, che i dati contenuti nell’envelope (vedi provv. 303/2016, cit. in nota 1), tra cui sono anche indirizzo del mittente e del destinatario, non sono i dati dell’header (che contiene, per esempio, anche l’oggetto e data e ora di invio), anche se con questi in parte coincidono. Considerare, quindi, i dati di envelope come Metadati Tecnici non vuol dire che cancellando i primi si devono cancellare necessariamente anche i secondi (ovvero quelli dell’header). Vuol dire solo che i provider di posta elettronica in cloud, quali responsabili del trattamento, devono ricevere indicazioni dal titolare di provvedere alla cancellazione dei Metadati Tecnici (dati di envelope) nel termine massimo di sette giorni.

[3] Con provv. n. 214 del 29 ottobre 2020, il Garante ha ritenuto eccessivo il termine di conservazione dei tre anni nel rispetto degli artt. 23 e 24 GDPR (si veda anche il provv. 1° febbraio 2018, n. 53, doc. web n. 8159221, spec. punto 3.2, nel quale sembra eccessivo anche il termine di 12 mesi).

[4] Si veda quanto stabilito dal D.P.C.M. 3 dicembre 2013, recante le Regole tecniche in materia di sistema di conservazione ai sensi degli artt. 20, commi 3 e 5-bis, 23-ter, comma 4, 43, commi 1 e 3, 44, 44-bis e 71, comma 1, del D.Lgs. 82/2005 (CAD); nonché quanto disposto in tema di «scritture contabili» ai sensi degli artt. 2214 e 2220 c.c. (e, per quanto riguarda i fini fiscali, art. 22 D.P.R. n. 600 del 1973).

Autore Francesco Rampone

Lateral Partner

Milano

f.rampone@lascalaw.com

Desideri approfondire il tema Information Technology ?

Contattaci subito