Introduzione
Il concetto di “metadati”, nonostante sia protagonista in ambito informatico, non è altrettanto al centro di studi, dibattiti e/o riflessioni tra gli esperti del settore del diritto digitale. Tutto questo è stato smentito proprio di recente dal Autorità Garante per la protezione dei dati personali, il quale ha attenzionato il tema dando il là a speculazioni, interesse e dubbi tra gli addetti ai lavori.
Lo scorso 23 dicembre 2023, il Garante ha infatti adottato il documento di indirizzo[1] riguardante i programmi per la gestione della posta elettronica nel contesto lavorativo ed il relativo trattamento dei metadati, il quale ha suscitato particolar interesse intorno alla conservazione dei metadati degli account e-mail dei dipendenti.
Tuttavia, prima di approfondire la questione, facciamo un passo indietro e cerchiamo di comprendere in concreto cosa si intenda per metadati. La prima menzione sembra risalire al 1967, quando Stuart McIntosh e David Griffel, due professori del Massachusetts Institute of Technology (MIT), descrissero questa categoria di dati in un loro scritto come «Data about the environment [that is]gathered and recorded»[2], riferendosi ai dati bibliografici. Secondo l’accezione informatica, invece, i metadati sono informazioni (o dati) sui dati stessi. Prendiamo l’esempio di una e-mail: oltre al contenuto dell’e-mail stessa, ci sono altri dati che si possono raccogliere, come il giorno, l’ora, il mittente e il destinatario. Seppur tali informazioni sembrano ovvie, a tratti anche innocue, chi visiona l’e-mail potrebbe elaborare ulteriori ragionamenti, con un semplice sforzo induttivo: l’ora potrebbe rivelare abitudini del mittente, la firma potrebbe fornire informazioni sul dispositivo utilizzato, l’indirizzo IP consentirebbe di geolocalizzare il mittente. Proprio a tal riguardo, si era già espresso Edward Snowden, che – nel suo libro “Permanent Record” (trad. Errore di Sistema) – enfatizzava l’ingente mole di informazioni che finivano in possesso dell’NSA a seguito della mera visione di una semplice e-mail o della verifica del registro di una chiamata[3].
Cornice normativa e intervento del Garante
Il rapporto tra privacy e controllo dei lavoratori non è un tema emergente. Il Garante, infatti, già nelle sue linee guida per posta elettronica e internet[4], aveva evidenziato che il contenuto delle e-mail, sono forme di corrispondenza privata che hanno dunque tutela costituzionale. In aggiunta, l’uso di programmi software per la gestione di e-mail sfocia inevitabilmente in un trattamento di dati personali nel contesto lavorativo. Quale Titolare del trattamento, il datore ha dunque l’onere di verificare che i mezzi impiegati siano leciti e rispettino i diritti dei lavoratori, in ossequio al principio di liceità e di accountability (art. 5 GDPR). A ciò si aggiunge quanto stabilito dall’art. 4, co. 1 della l. 300/1970 (il cd. Statuto dei lavoratori), poi modificato dal d.lgs. 151/2015, il quale individua le finalità organizzative, produttive, di sicurezza del lavoro e tutela del patrimonio aziendale come le uniche in grado di giustificare l’impiego di strumenti per controllare a distanza l’attività dei lavoratori.
Molto spesso, infine, alcuni programmi per la gestione delle e-mail in modalità cloud o as a service sono configurati di default, in modo da raccogliere e conservare i metadati relativi all’utilizzo degli account dei dipendenti, spesso senza alcuna possibilità per il datore di lavoro di disabilitare la raccolta massiva di dati e ridurre il periodo di retention. È proprio questo il tema attenzionato dal Garante, il quale nel proprio documento di indirizzo fornisce alcune indicazioni su:
- periodo di conservazione dei metadati, il quale non può essere superiore a 7 giorni, estendibili di ulteriori 48 ore in presenza di comprovate esigenze.
- verifica da parte del datore di lavoro, il quale agisce in qualità di Titolare del trattamento, che i suddetti programmi consentano di modificare le impostazioni di base, volte a impedire la raccolta sistematica di metadati e/o limitare i termini di conservazione;
- necessità di condurre una valutazione d’impatto sul trattamento in oggetto (DPIA), provvedendo inoltre all’aggiornamento dell’informativa da rendere ai dipendenti.
Tali indicazioni, che possono quindi comportare uno sforzo non indifferente per i datori di lavoro, hanno suscitato nelle scorse settimane discussioni e riflessioni. Il Garante ha successivamente dato avvio ad una consultazione pubblica[5], con l’obiettivo di acquisire osservazioni e proposte riguardo alla congruità del termine citato, soprattutto con riferimento ai periodi di retention. L’efficacia del documento d’indirizzo è stata, dunque, sospesa.
Quali criticità?
Il provvedimento in esame presta il fianco a molteplici dubbi e perplessità ermeneutiche, scaturigini di correlate difficoltà che inevitabilmente emergono in fase applicativa. In questa sede, è senz’altro utile una breve disamina, avendo riguardo a tre ordini di considerazioni.
In primo luogo, profilo di maggior dibattito è stato – e continua ad essere – il limitatissimo tempo di retention dei metadati. A tal proposito, è pressoché unanime l’opinione degli addetti ai lavori, il cui giudizio si unisce in un coro che tinge il termine del Garante di monocromatico anacronismo. Conservare i metadati per un lasso di tempo così ristretto inficia il perseguimento di molteplici finalità del trattamento, prima fra tutte la tutela della sicurezza del patrimonio aziendale e la protezione dei medesimi dati personali. Pur auspicando il migliore degli scenari possibili, è inverosimile concordare sulla congruità del periodo di 7 giorni (ancorché estesi a 9) per lo svolgimento di accertamenti e indagini volti a verificare cause e responsabilità dei data breach. Il tema, non affatto di poco conto, pone – su un piatto – l’imprescindibile diritto alla riservatezza dei lavoratori, ma – sull’altro – la sicurezza dell’azienda e la protezione di tutti i dati personali ivi trattati. La decisione del Garante trascura un prodromico e necessario bilanciamento di interessi, finendo col sacrificare (a caro prezzo) la conduzione e il buon esito di indagini forensi e penali.
A titolo meramente esemplificativo, basti qui pensare all’ipotesi di un attacco ransomware – minaccia numero uno, secondo il più recente report ENISA[6] – e all’estrema rilevanza che rivestirebbero i metadati delle e-mail dei lavoratori: dalla individuazione dei punti di ingresso degli attacchi alla identificazione delle tecniche di social engineering adoperate.
In secondo luogo, desta qualche interrogativo la timida definizione di metadati offerta dal Garante, che – lungi da definire con chiarezza il perimetro di applicabilità del provvedimento – genera non poca confusione. L’Autorità si limita a fornire qualche esempio (i.e. «giorno, ora, mittente, destinatario, oggetto e dimensione dell’email»), ma non è dato sapere se le informazioni oggetto della cancellazione debbano essere quelle incorporate nel testo dell’e-mail ovvero i metadati MTA[7].
Infine, è altrettanto doveroso osservare come il documento di indirizzo abbia una sorta di difetto di legittimazione passiva, in quanto indirizzato alle aziende, Titolari del trattamento, e non ai service provider. Invero, i vari gradi di customizzazione dei servizi di posta elettronica restano, in ogni caso, modalità standardizzate, unilateralmente decise dai provider e difficilmente adattabili alle eterogenee esigenze aziendali degli utilizzatori finali.
Ulteriore approfondimento meriterebbe la dimensione giuslavoristica. Rimane ignota la ratio sottesa alla repentina virata, che ha luogo quando (come in una fiaba) – allo scoccare del nono giorno – provoca una inaspettata trasformazione: lo strumento fino a quel momento utilizzato dal lavoratore per rendere la prestazione lavorativa cambia veste (e classificazione), tramutandosi in strumento di controllo a distanza dell’attività dei lavoratori, soggiacendo alle specifiche condizioni previste dall’art. 4, co. 1, dello Statuto dei lavoratori.
Conclusioni
Pur non trascurando le criticità testé illustrate, a sommesso parere di chi scrive, l’annunciata consultazione pubblica preannuncia un probabile dietrofront dell’Autorità. Mutatis mutandis, si intravede il medesimo approccio che – nell’ambito della retention dei dati personali trattati per finalità di marketing e profilazione – fu assunto per dare piena attuazione al principio di accountability. Come a tutti noto, nel lontano 2005 il Garante intervenne definendo specifici termini di conservazione col celebre provvedimento sulle fidelity card[8]. Successivamente, all’indomani dell’entrata in vigore del GDPR, l’Autorità riconobbe piena autonomia (rectius, responsabilità) ai Titolari del trattamento, in ossequio al tenore dell’art. 24 del GDPR[9].
Ci si augura che, all’esito dei riscontri rivenienti dalla consultazione pubblica, l’Autorità italiana possa rientrare nel solco del seminato, restituendo giusta dignità all’accountability del Titolare (senza, con ciò, sottrarre garanzie alla tutela della privacy dei lavoratori).
Authors: Jacopo Scipione, Pierpaolo De Natale Dumas
[1] Autorità Garante per la protezione dei dati personali, Documento di indirizzo relativo a Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati, 21 dicembre 2023 (doc web n. 9978728), ultima consultazione 12 marzo 2024.
[2] S. McIntosh – D. Griffel, ADMINS – A progress report, MIT Center for International Studies, 1967, 1.a.1-1.a.2.
[3] E. Snowden, Permanent Record, Pan Books, 2019, 179.
[4] Autorità Garante per la protezione dei dati personali, Linee guida per posta elettronica e internet, 10 marzo 2007 (doc. web n. 1387522), ultima consultazione 12 marzo 2024.
[5] Autorità Garante per la protezione dei dati personali, Avviso pubblico di avvio della consultazione sul “termine di conservazione dei metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica”, ultima consultazione il 12 marzo 2024.
[6] ENISA, ENISA Threat Landscape 2023, ultima consultazione 12 marzo 2024.
[7] I metadati MTA (Mail Transfer Agent) sono informazioni aggiuntive associate alle e-mail che vengono utilizzate dai server di posta elettronica per instradare, consegnare e gestire il flusso delle e-mail attraverso Internet. Questi metadati forniscono dettagli sul mittente, sul destinatario, sugli indirizzi IP coinvolti, sulla data e sull’orario di invio e ricezione, nonché su eventuali informazioni di routing aggiuntive necessarie per la consegna dell’e-mail.
[8] Autorità Garante per la protezione dei dati personali, Linee guida su ´Fidelity card´ e garanzie per i consumatori, 24 febbraio 2005 (doc. web n. 1103045), ultima consultazione il 12 marzo 2024.
[9] Autorità Garante per la protezione dei dati personali, Provv. n. 181 del 15 ottobre 2020 (doc. web n. 9486485), ultima consultazione 12 marzo 2024.
