Il Garante Privacy e la gestione dei Metadati Email: nuove linee guida per la sicurezza dei dati aziendali
Come analizzato in un precedente articolo il Garante privacy è di recente tornato ad esaminare la questione relativa ai trattamenti dei dati personali effettuati nel contesto lavorativo da parte dei programmi e servizi informatici per la gestione della posta elettronica.
Metadati e Garante Privacy
Si sottolinea fin da subito che il documento emanato non reca prescrizioni né introduce nuovi adempimenti a carico dei Titolari del trattamento ma intende offrire una ricostruzione sistematica delle disposizioni applicabili in tale specifico ambito.
Il principale fine del provvedimento, si legge fra le premesse, è infatti quello di sensibilizzare enti ed imprese rispetto alla raccolta e al trattamento dei metadati derivanti dall’utilizzo di sistemi di posta elettronica, in modo da favorire la diffusione di migliori prassi a tutela dei diritti e delle libertà degli utenti interessati.
Cosa sono i metadati
In primo luogo, il Garante ha dato una definizione di metadati della posta elettronica dei dipendenti ricomprendendo quelle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica e dalle postazioni client. Essi presentano la caratteristica principale di essere registrati automaticamente dai sistemi di posta elettronica indipendentemente dalla volontà dell’utilizzatore.
Questi metadati pertanto includono:
- indirizzi e-mail del mittente e del destinatario
- indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio
- gli orari di invio, di ritrasmissione o di ricezione
- la dimensione del messaggio
- la presenza e la dimensione di eventuali allegati
- l’oggetto del messaggio spedito o ricevuto (in relazione al sistema di gestione del servizio di posta elettronica utilizzato).
È dunque chiaro che tali metadati non riguardano in nessun modo le informazioni contenute nei messaggi di posta elettronica nella loro “body part” e dunque nel corpo e nel contenuto dei messaggi di posta elettronica che rimangono esclusivamente nella disponibilità dell’utente/lavoratore, all’interno della casella di posta elettronica attribuitagli.
Cosa dice il Garante della Privacy sui Metadati
L’attenzione del Garante si concentra dunque sul rischio che la conservazione illimitata di tali metadati, dato che molto spesso i titolari del trattamento/datori di lavoro non sono consapevoli né della loro raccolta né della relativa tempistica di conservazione, potrebbe comportare un indiretto controllo a distanza dell’attività dei lavoratori e ciò in contrasto con le garanzie previste dall’art. 4, 1 co°, dello Statuto dei Lavoratori (L. 300/1970).
Recenti aggiornamenti della legge sulla privacy hanno imposto ulteriori restrizioni e chiarificazioni riguardo alla conservazione e al trattamento dei metadati, per garantire una maggiore tutela dei diritti dei lavoratori.
Rispetto alla versione ante consultazione pubblica, l’Autorità ha così esteso la c.d. data retention della raccolta dei metadati: dagli originari 7-9 giorni a 21 giorni; termine che, come riconosciuto dallo stesso Garante, è da intendersi in termini “orientativi”.
Il documento precisa che spetta al titolare del trattamento “accertare che siano disattivate le funzioni che non sono compatibili con le proprie finalità del trattamento” e verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti “consentano al cliente (datore di lavoro) di rispettare la disciplina dei dati nei termini indicati nel presente documento di indirizzo, anche con riguardo al periodo di conservazione dei metadati”.
Secondo l’Autorità bisogna commisurare adeguatamente i tempi di conservazione ovvero chiedere al fornitore del servizio di “anonimizzare i metadati raccolti nei casi in cui non si intenda effettuare una conservazione più prolungata degli stessi”.
L’autorità precisa poi che nel caso in cui i trattamenti dei dati personali in questione si dovessero rendere necessari per un periodo superiore a 21 giorni per diverse finalità connesse al perseguimento di esigenze organizzative, produttive o di sicurezza, sarà necessario espletare le procedure di garanzia previste dalla disciplina di settore (art. 4, co.1, L. 300/1970).
Sarà inoltre obbligatorio, anche ai fini del rispetto dei principi di correttezza e trasparenza nei confronti dei lavoratori che gli stessi siano adeguatamente informativi sul trattamento dei dati personali relativi alle comunicazioni elettroniche che li riguardano (specificando tempi di conservazione dei dati e gli eventuali controlli).
Ancora, al fine di realizzare effettivamente la c.d. accountability, spetta in ogni caso al titolare adottare tutte le misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati.