Garante Privacy e conservazione delle email: consultazione pubblica sul controverso provvedimento
Indice dell'articolo
Con un provvedimento del 22 febbraio, il Garante ha deciso di avviare una consultazione pubblica e posticipare di 90 giorni l’applicazione di un provvedimento che nelle scorse settimane aveva creato un certo scompiglio nelle funzioni IT, HR, legal e governance delle aziende, oltre che tra i fornitori internet di servizi email.
La consultazione è stata decisa a seguito di numerose richieste di chiarimenti che aziende e operatori del settore avevano inviato all’Autorità, visto che il testo del provvedimento del 21 dicembre 2023 con le linee di indirizzo su “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” lasciava spazio a diverse interpretazioni, alcune delle quali abbastanza paradossali.
In estrema sintesi, nel documento il Garante considera che “i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email)” conservati per un periodo indefinito possano costituire un metodo per il controllo remoto dell’attività del dipendente ai fini della valutazione della sua prestazione, cosa vietata dallo Statuto dei lavoratori e che potrebbe costituire un trattamento illecito dei dati personali secondo il GDPR.
In assenza di altre motivazioni oggettive che richiedano una conservazione per tempi superiori, e da effettuarsi in ogni caso dopo un accordo tra azienda e sindacati, il Garante indica in 7 giorni un tempo congruo per la conservazione di quei metadati, con la possibilità di estendere il periodo di ulteriori due giorni in caso di comprovate esigenze.
Email e controllo remoto dei dipendenti
Il Garante ha senz’altro agito per affrontare un problema reale. Le attività email del dipendente, come gli orari e le posizioni da cui scarica e spedisce i messaggi, vengono in altri paesi usate da alcuni software – insieme a parametri ancor più invasivi come il movimento del mouse, catture dello schermo e addirittura dalla webcam – per permettere all’azienda di monitorare e valutare l’effettiva prestazione lavorativa. Un’attività vietata in Italia in linea generale e ammessa solo per finalità di tutela del patrimonio aziendale e previo accordo sindacale.
È pure apprezzabile che il Garante abbia voluto mettere in guardia i datori di lavoro, anche quelli lontani da intenzioni di controllo, del fatto che i fornitori di servizi email in cloud stanno in ogni caso raccogliendo e conservando quei dati, in alcuni casi con modalità che non sono sottoposte al controllo dell’azienda, che dovrebbe formalmente essere titolare del trattamento.
Nonostante le buone intenzioni, la formulazione delle linee di indirizzo ha lasciato molti destinatari del provvedimento molto confusi su come dover agire
Una richiesta apparentemente impossibile da soddisfare
“Nell’interpretazione più razionale e condivisa, quel che il garante vuole vietare è la conservazione indefinita dei log di accesso ai server email in cloud, che registrano in che orari si è collegato il dipendente, da quale indirizzo IP e quali operazioni ha compiuto, e che possono essere usati per analisi generalizzate. Il problema è che i metadati citati nel provvedimento (oggetto, mittente, destinatario, ora di invio o ricezione) costituiscono anche parte integrante delle email memorizzate nelle caselle in cloud. Non è possibile eliminarli da lì senza cancellare anche il messaggio”, commenta Luca Seravalli, CIO di Duferco Energia, da noi interpellato.
Questa possibile seconda interpretazione – e cioè che anche la casella stessa sia tra i mezzi incriminati, e non il solo log di accesso – ha scatenato il panico generatosi nelle diverse funzioni aziendali coinvolte in questi temi: dobbiamo forse cancellare tutte le email dai server dopo 7 giorni? Come conciliamo queste indicazioni con l’obbligo di conservare per dieci anni le comunicazioni che impegnino giuridicamente l’azienda? Dobbiamo forse cominciare stampare tutte le email?
Dobbiamo forse cancellare tutte le email dai server dopo 7 giorni? (Spoiler: no)
Anche se non è questo che chiede il provvedimento del Garante, la confusione è stata molta nelle ultime settimane.
Qualche consiglio e una pausa di riflessione
Per aiutare a fare un po’ di chiarezza, prima ancora dell’annuncio sulla consultazione pubblica, il CIO Club Italia ha organizzato un webinar in cui l’avv. Valentina Frediani di Colin&Partners – Consulente legale informatico ha dato alcune interessanti indicazioni che vale la pena ascoltare e applicare.
Di seguito trovate la registrazione dell’intervento, ma evidenziamo alcuni principi generali che sono validi anche in altri casi in cui diritto e tecnologia sembrano bisticciare tra loro e non consentire un’applicazione semplice della norma:
- Separare i processi tecnologici (analisi tecnica del problema e implementazione della soluzione) da quelli legali (modifica delle informative, del registro dei trattamenti, delle politiche di conservazione, documentazione da produrre…)
- Documentare tutti i passaggi fatti sul tema (verbali di riunioni, email inviate, PEC…) in modo da poter dimostrare di aver affrontato il problema nei limiti delle proprie possibilità.
- Attivarsi con i diversi interlocutori, come autorità, fornitori, consulenti e sindacati, sempre tracciando le comunicazioni
- Qualora si operassero delle scelte, per esempio in questo caso per determinare che è necessaria una conservazione più lunga previo accordo sindacale, documentare le considerazioni fatte e i motivi che hanno orientato la decisione.
Più nello specifico, l’Avv. Frediani invita le aziende a prendere consapevolezza della propria situazione, facendo una mappatura dei servizi email utilizzati e verificando insieme al fornitore la possibilità tecnica di impostare i termini di cancellazione. In base alle verifiche effettuate e a una valutazione della necessità di conservare i dati per un periodo più lungo – per esempio per finalità di cybersecurity a tutela del patrimonio aziendale – sarà poi necessario aggiornare le informative destinate ai dipendenti, il registro dei trattamenti, le politiche di data retention e altri documenti e definire l’accordo sindacale.
Fortunatamente, c’è ora un po’ più di tempo per tutte queste attività, in attesa degli esiti della consultazione avviata dal Garante. È possibile, ma non certo, che il Garante decida di modificare il periodo di conservazione massimo o dia indicazioni su eventuali modalità con cui i metadati possono essere conservati in modo conforme. In ogni caso, è bene farsi trovare pronti ai diversi possibili esiti.
Aziende, fornitori e tutti i soggetti interessati hanno 30 giorni di tempo per far pervenire le loro osservazioni all’Autorità, che si riserva la possibilità di apportare modifiche al provvedimento nei successivi 60 giorni. Procedure e indirizzi per far pervenire le memorie sono disponibili sulla pagina dell’Avviso pubblico sul sito del Garante.
Tutto rimandato di tre mesi, quindi, con la speranza che alla fine verrà prodotto un provvedimento che possa conciliare la sacrosanta tutela dei diritti dei lavoratori con le tecnologie e le pratiche del terzo millennio.