Il Trattamento dei Metadati della Posta Elettronica Aziendale
Lo scorso 21 dicembre 2023, il Garante Privacy ha adottato il provvedimento n. 642, riportante il documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”.
Il provvedimento citato è stato ampiamente criticato all’interno del panorama giuridico ed operativo, in quanto idoneo ad aggravare sproporzionatamente e irrazionalmente gli adempimenti dei datori in materia di privacy, a fronte di un diritto alla riservatezza della corrispondenza aziendale dei lavoratori non chiaramente definito nell’ordinamento.
Il Garante ha tentato, dunque, di risolvere le criticità rilevate redigendo, sulla base di una preventiva consultazione pubblica, un nuovo documento di indirizzo, adottato il 6 giugno 2024 con provvedimento n. 364/2024. Tuttavia, nonostante alcune importanti correzioni siano state accolte, alcune questioni rimangono irrisolte.
Il contenuto del documento di indirizzo
I metadati consistono in “stringhe descrittive” di un’email, riportanti una serie determinata di informazioni, quali il giorno, l’ora, il mittente, il destinatario, l’oggetto e la dimensione, con esclusione del contenuto e degli allegati. Sono di regola utilizzati per esigenze di sicurezza informatica, specie a fronte di data breach, perché permettono ricavare tutte le proprietà essenziali dell’email, nonché risalire alla possibile causa dell’incidente informatico.
L’utilizzo dei metadati nei contesti lavorativi ha suscitato alcune perplessità. Dagli accertamenti condotti dal Garante Privacy, è emerso che “i programmi ed i servizi informatici per la gestione della posta elettronica, commercializzati dai fornitori in modalità cloud, possono raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti […], conservando gli stessi per un esteso arco temporale. Ciò talvolta ponendo, altresì, limitazioni al cliente (datore di lavoro) in ordine alla possibilità di modificare le impostazioni di base del programma informatico al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi”.
Dal punto di vista giuridico, ciò si traduce nel rischio di violazione, da parte datoriale, del diritto alla riservatezza della corrispondenza del lavoratore. Secondo il Garante, infatti, l’utilizzo di questi programmi e servizi costituisce un “trattamento di dati personali” ai sensi del GDPR, sicché il datore di lavoro, in quanto titolare del trattamento, sarà tenuto a verificare “la sussistenza di un idoneo presupposto di liceità” (cfr. in particolare, artt. 5, 6 e 88 GDPR).
All’interno del contesto lavorativo, ciò significa, in particolare, che il datore dovrà verificare se la gestione e conservazione dei metadati rispettino i limiti posti dall’art. 4 dello Statuto dei lavoratori sui controlli a distanza, nonché dei divieti di indagine su opinioni e trattamenti discriminatori di cui agli artt. 8 e 10 della medesima fonte. In pratica, ciò che si chiede al datore, ad esempio, è di accertarsi che siano disattivate funzioni non compatibili con le finalità del trattamento, anche modificando le impostazioni di base dei programmi e servizi di posta elettronica.
Un simile onere, sempre nella prospettiva del Garante, trova giustificazione nel principio di “responsabilizzazione” del titolare del trattamento (artt. 5, par. 2 e 24 GDPR) e, segnatamente, nella particolare vulnerabilità degli interessati nel contesto lavorativo, nonché nel rischio di un utilizzo deviato del trattamento che, in contrasto con le sue proprie finalità, viene piegato a scopi di controllo, osservazione degli interessati (c.d. monitoraggio sistematico).
Sul punto, il provvedimento n. 364 precisa che, affinché all’attività di raccolta e conservazione dei metadati possa applicarsi l’art. 4, co. 2 St.Lav. (che fa eccezione al più severo regime di tutela previsto dal comma 1 per i controlli a distanza), è necessario che dette attività siano funzionali ad assicurare il funzionamento delle infrastrutture del sistema di posta elettronica, in quanto riferibili all’utilizzo di “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze”, in conformità con il disposto normativo citato.
In ogni caso, il comma secondo potrà applicarsi solo se il periodo di conservazione dei metadati non supera i 21 giorni (precedentemente di 7 giorni). Chiarisce il Garante, “l’eventuale conservazione per un termine ancora più ampio potrà essere effettuata, solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente, in applicazione del principio di accountability previsto dall’art. 5, par. 2, del Regolamento, le specificità della realtà tecnica e organizzativa del titolare”.
Diversamente, spiega sempre il Garante, la generalizzata raccolta e conservazione dei metadati per un lasso di tempo più esteso – ancorché sul presupposto della sua necessità per finalità di sicurezza informatica e tutela dell’integrità del patrimonio, anche informativo, del datore di lavoro –, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, potrà richiedere l’esperimento delle garanzie perviste dall’art. 4, co. 1 della predetta l. n. 300/1970.
Le soluzioni di ordine pratico-operativo prospettate dal Garante: gli aspetti critici
Il nuovo documento di indirizzo precisa espressamente che “Il presente documento non reca prescrizioni né introduce nuovi adempimenti a carico dei titolari del trattamento, ma intende offrire una ricostruzione sistematica delle disposizioni applicabili in tale specifico ambito”. Alla luce di ciò, il Garante definisce alcune “iniziative” volte ad assicurare il rispetto della disciplina di tutela dei dati. Tuttavia, dette soluzioni peccano di genericità e scarsa aderenza alla realtà concreta entro cui dovrebbero essere attuate.
Il Garante rileva, infatti, come i datori di lavoro siano chiamati in ogni caso ad adottare “le misure necessarie a conformare i propri trattamenti alla discipline di protezione dati e a quella di settore”, in particolare verificando che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti rispettino il periodo di conservazione dei dati, come fissato dal provvedimento.
Ora, le criticità che emergono sono diverse. Un primo ordine di censure continua a riguardare il breve termine entro cui i metadati dovrebbero essere eliminati. Poiché i metadati svolgono vitali funzioni di cyber security, permettendo di recuperare importanti informazioni relative allo svolgimento dell’attività di impresa (si pensi, ad es., alla corrispondenza con i clienti contenente degli ordini, ma anche a quelle forme di e-commerce che prevedono l’adesione di un contratto tramite l’inoltro di una email), la loro conservazione nel tempo risulta essenziale per due ordini principali di ragioni.
In primo luogo, per il corretto esercizio dell’attività economica dell’impresa nei confronti dei terzi (i clienti e fornitori), verso i quali l’imprenditore ha specifici obblighi di protezione. In secondo luogo, si noti come in caso di attacco informatico, le vittime dell’attacco potrebbero essere proprio gli stessi dipendenti: il risultato paradossale è che il provvedimento, che proprio tali soggetti vorrebbe tutelare, viene di fatto a ridurne il novero di garanzie applicabili a tutela dei loro dati.
Il documento di indirizzo sembra, inoltre, svincolarsi dalla dimensione pratica nella parte in cui “scarica” in capo ai datori di lavoro l’onere di verificare la liceità dei servizi informatici di posta elettronica ed, eventualmente, provvedere alla modifica delle relative impostazioni di base. Ora, posto che simili operazioni valutative potrebbero richiede sforzi eccessivi per le piccole-medie imprese, l’illogicità del provvedimento risiede proprio nel fatto che proprio lo stesso provvedimento riconosce che i servizi acquistati dal datore spesso non permettono alcuna modifica delle impostazioni di base!
Correttamente, in applicazione dei principi generali di proporzionalità e di responsabilità del produttore, il nuovo documento di indirizzo sottolinea come i fornitori di questi servizi debbano, già in fase di progettazione, “tener conto del diritto alla protezione dei dati conformemente allo stato dell’arte”. Tuttavia, un simile avviso viene svuotato di significato, in quanto il Garante stesso rileva in capo al datore una “responsabilità generale” sul trattamento dati nei termini sopra descritti, anche con riferimento a circostanze su cui non ha e non può avere controllo alcuno (come la programmazione dei servizi).
Le critiche di ordine giuridico
Queste prime osservazioni permettono di comprendere come, dal punto di vista giuridico, il diritto alla riservatezza della corrispondenza dei lavoratori (art. 15 Cost.) si scontri con il libero esercizio dell’attività di impresa (art. 41 Cost.). Sul punto, vi è chi ha osservato che i principi posti a tutela della corrispondenza, nei termini evocati dal Garante del documento d’indirizzo, si riferirebbero, più propriamente, alla corrispondenza “privata”, cioè quella di pertinenza esclusiva del titolare della casella di posta elettronica e, dunque, finalizzata ai suoi interessi personali.
Diversamente, l’email aziendale costituisce uno strumento dell’imprenditore per l’esercizio della sua attività. Come chiarito già dal Tribunale di Torino con la sentenza del 15 settembre 2006 (e prima ancora, dal Tribunale di Milano, con la sentenza del 10 maggio 2002), “La personalità dell’indirizzo di posta elettronica attribuito ad un dipendente dal suo datore di lavoro non comporta la segretezza dei messaggi dallo stesso inviati e non configura, pertanto, il reato di violazione di corrispondenza ai sensi dell’art. 616 Cod. Pen. la condotta del datore di lavoro che li legga accedendo alla relativa casella ponendo lo stesso in essere, nella fattispecie, solo un uso di beni aziendali esclusivamente affidati ai dipendenti per ragioni di servizio”. Senza contare che, in ogni caso, l’uso personale della casella di posta aziendale può comportare conseguenze disciplinari.
Dunque, se ciò è vero per il contenuto dei messaggi, tanto più lo sarà per i metadati, che nemmeno ricomprendono il testo e gli allegati dell’email. L’errore in cui il Garante sembra essere incappato è, dunque, aver circoscritto le misure di tutela della riservatezza alla sola durata della conservazione dei metadati (risultata, tra l’altro, inadeguata), mentre sono state totalmente trascurate le finalità che consentirebbero al datore di lavoro di effettuare un trattamento lecito anche alla luce delle esigenze della propria attività di impresa.
A questo proposito, non si può certamente negare come il Garante abbia sì consentito, in ipotesi, la possibilità di conservare i metadati per un periodo superiore a ventun giorni, ma ciò solo a condizione che il datore provveda ad attuare il complesso sistema di autorizzazioni di cui all’art. 4, co. 1 St.Lav.
Tuttavia, un simile percorso fatica a trovare giustificazione per i metadati per le ragioni anzidette. Non solo. La posta elettronica costituisce ormai uno strumento basilare ed essenziale per l’esercizio di qualsivoglia attività. Ora, un termine così breve rende, di fatto, obbligatoria l’applicazione del cit. art. 4, co. 1 per qualsiasi imprenditore; ed è chiaro che un simile esito penalizzerà principalmente le realtà più piccole e quelle emergenti, incapaci di sostenere i relativi costi economici ed operativi.
Considerazioni finali e soluzioni operative
La materia della gestione della posta elettronica aziendale e del trattamento dei relativi metadati è ancora in evoluzione, ma è chiaro come già ora stia sollevando obiezioni non trascurabili. I metadati, che per certi aspetti si avvicinano al concetto di “dati personali”, per altri se ne discostano nella parte in cui, intrinsecamente “polifunzionali”, permettono al datore di lavoro di esercitare l’impresa in sicurezza.
Concludendo, la linea di confine tra trattamento lecito e illecito dei metadati rimane ancora poco netta. In un simile contesto, rimane fermo che al datore è richiesto uno sforzo di adeguamento notevole: a tal fine, rinnovata importanza dovrà essere prestata alla formazione interna del titolare e del responsabile del trattamento dati, anche per il tramite di esperti e consulenti specializzati.