Winger

Metadati delle e-mail: novità normative

Premessa.

Il Garante Privacy, con il Provvedimento del 6 giugno 2024, ha emanato un “documento di indirizzo” (anche detto di seguito “documento”), opportunamente aggiornato e modificato a conclusione della consultazione pubblica, concernente i “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”.

I metadati: cosa sono.

I metadati definiti nel documento corrispondono tecnicamente “alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client (le postazioni terminali che effettuano l’invio dei messaggi  e che consentono la consultazione della corrispondenza in entrata accedendo a mailbox elettroniche, definite negli standard tecnici quali MUA – Mail User Agent)”.

Tali informazioni, relative alle operazioni di invio, ricezione e gestione dei messaggi, sono sostanzialmente:

• gli indirizzi email del mittente e del destinatario,
• gli indirizzi IP dei server e dei client coinvolti nell’instradamento dei messaggi,
• gli orari di invio e di ricezione,
• la dimensione del corpo del messaggio,
• la presenza e la dimensione di eventuali allegati,
• l’oggetto del messaggio.

Le precisazioni del Garante: quali metadati sono oggetto del Provvedimento.

Ciò detto, i metadati su cui si concentra il documento del Garante sono solo quelli che vengono registrati automaticamente sui server di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utilizzatore finale.

Risultano invece escluse dalle previsioni del documento le informazioni contenute nel “corpo” dei messaggi di posta elettronica (MUA - Mail User Agent) e che formano il cosiddetto “envelope”, ovvero l’insieme dei dati tecnici e parametri strutturati del messaggio, i quali permangono sul client dell’utente finale. Le informazioni contenute nell’envelope, malgrado siano sostanzialmente corrispondenti ai metadati registrati automaticamente dai servizi di posta, sono inscindibili dal messaggio di cui fanno parte integrante e rimangono sotto il controllo del lavoratore, che è il mittente od il destinatario del messaggio.

Pertanto, le indicazioni fornite dal documento relativamente ai tempi di conservazione dei metadati (e che esponiamo nel successivo paragrafo), non riguardano quest’ultima categoria di informazioni.

I tempi di conservazione dei metadati dei sistemi di posta.

In base al documento di indirizzo, la conservazione dei metadati presenti sui server dei sistemi di posta elettronicadelle aziende, potrà essere effettuata per un periodo limitato a pochi giorni e che non deve comunque superare i 21 giorni.

L’eventuale conservazione dei metadati per un termine più ampio potrà essere effettuata solo in presenza di particolari e comprovate ragioni che ne rendano necessaria l’estensione, in applicazione del principio di “accountability” previsto dall’art. 5, par. 2, del Regolamento Europeo 2016/679.

Inoltre, la conservazione dei metadati per un lasso di tempo più esteso, comportando potenzialmente un controllo a distanza dell’attività dei lavoratori, potrà richiedere l’espletamento delle garanzie previste dall’art. 4, comma 1, L. 300/1970 (ossia stipula di idoneo accordo sindacale o rilascio dell’autorizzazione dell’ITL).

I rapporti con i fornitori dei servizi di posta elettronica.

In merito ai rapporti con i fornitori dei servizi di posta, nel documento viene specificato che è compito del titolare del trattamento (cioè dell’azienda), verificare che i programmi ed i servizi informatici di gestione della posta elettronica concessi in uso ai dipendenti “consentano al cliente (datore di lavoro) di rispettare la disciplina dei dati nei termini indicati nel documento di indirizzo, anche con riguardo al periodo di conservazione dei metadati”.

Tale attività di verifica appare di elevata complessità e di difficile gestione, alla luce del fatto che i “provider” di posta individuano mediamente un periodo di “data retention” pari a 6-12 mesi, anche per garantire livelli più elevati di sicurezza informatica.

E’ auspicabile che i fornitori, alla luce di quanto disposto dal documento, prendano atto autonomamente delle nuove indicazioni del Garante italiano, modificando e limitando al più presto i periodi di conservazione dei metadati.

Se poi i fornitori dei servizi di posta continuassero a conservare i metadati per periodi superiori, ad esempio adducendo necessità connesse alla sicurezza dell’intero sistema informatico commercializzato, potrebbero essere considerati “titolari autonomi del trattamento”, subendone le conseguenze.

In ogni caso, la violazione delle norme e delle istruzioni da parte dei fornitori, non esimerebbe l’azienda cliente da rischi sanzionatori.

Cosa fare nell’immediato.

In estrema sintesi, nell’immediato si consiglia alle aziende di:

• applicare il nuovo limite temporale di conservazione dei metadati presenti sui server, pari ad un massimo di 21 giorni, oppure individuare, sancire e formalizzare chiare, comprovate e dimostrabili esigenze interne che rendono necessaria l’estensione di tale limite;
• gestire l’espletamento delle garanzie previste dall’art. 4, comma 1, della Legge n. 300/1970 (stipula di idoneo accordo sindacale o autorizzazione dell’ITL), nel caso in cui l’azienda/datore di lavoro valuti di conservare i metadati per un periodo superiore ai 21 giorni;
• confrontarsi coni fornitori del servizio di posta affinchè conservino i metadati non oltre i limiti temporali massimi stabiliti.

Conisdezioni conclusive.

Alla luce delle prime valutazioni degli operatori, il nuovo Provvedimento appare ancora di complessa applicazione sia per motivi di natura tecnica ed operativa, sia per i conflitti che potrebbero insorgere con altre normative. 

Si auspica che intervengano ulteriori chiarimenti e semplificazioni.

• Succ >