Primi commenti al Provvedimento del 6 giugno 2024 – Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati

LEGGI ANCHE: Metadati delle e-mail dei dipendenti: osservazioni sul provvedimento del Garante sottoposto a consultazione pubblica

È arrivato dal Garante per la Protezione dei Dati Personali l’esito della consultazione pubblica che la stessa Autorità aveva aperto a distanza di poche settimane dalla pubblicazione del documento di indirizzo circa la conservazione dei metadati della posta elettronica, che tante discussioni aveva suscitato tra esperti di protezione dati e responsabili aziendali.

E le novità sono importanti. Vediamo cosa e come è cambiato.

Le definizioni di “metadati”

Innanzitutto, il Garante chiarisce meglio cosa sono i “metadati” e, di conseguenza, amplia il campo di applicazione, affermando come “non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate”; e tecnicamente si tratta di “informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni client (MUA = Mail User Agent)”.

In altri termini, i metadati includono: indirizzi e-mail di mittente e destinatario, indirizzi IP dei server o client coinvolti, orari di invio, ritrasmissione o ricezione, dimensione del messaggio, presenza e dimensione di eventuali allegati e, a volte, l’oggetto del messaggio.

Si tratta di dati registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla (manifestazione di) volontà dell’utente, e non vanno in alcun modo confusi con il contenuto del corpus del messaggio di testo/e-mail.

Non a caso il Garante precisa dicendo che: “possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto”.

Metadati registrati automaticamente nei log dei servizi di posta

Poi, sempre il Garante spiega come questi metadati siano in grado di formare “il cosiddetto envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici”; e poi conclude dicendo come dette informazioni “ancorché corrispondenti a metadati registrati automaticamente nei log dei servizi di posta, sono inscindibili dal messaggio di cui fanno parte integrante e che rimane sotto l’esclusivo controllo dell’utente”.

In parole più semplici, le informazioni dell’envelope sono inseparabili dall’email di cui ne costituiscono parte integrante, ma rimangono sotto il controllo esclusivo dell’utente, sia esso il mittente o il destinatario dei messaggi.

Gli aspetti giuslavoristici e il controllo a distanza

Ancora, in materia giuslavoristica, circa l’applicabilità del comma II dell’art. 4 della L. n. 300/1970, la raccolta e conservazione dei metadati/log necessari per il funzionamento del sistema di posta elettronica è sì consentita ma per un periodo limitato a pochi giorni, e comunque non oltre i 21 giorni, salvo dimostrati casi particolari.

In pratica, comanda il contesto, il che consente di rispettare prima e applicare dopo, i vari principi generali del GDPR e in primis quello dell’accountability.

Da ultimo, circa la tematica del controllo a distanza, la generalizzata raccolta e conservazione dei log di posta elettronica per un periodo (più) esteso, può determinare un “indiretto controllo a distanza” dell’attività dei lavoratori, richiedendo perciò le garanzie previste dall’art. 4, comma I.

Conservazione dei metadati e la normativa in materia

La normativa in materia ovviamente non cambia, richiamando per l’effetto i seguenti documenti:

le “Linee guida del Garante per posta elettronica e Internet” del 1° marzo 2007, n. 13, doc. web n. 1387522; cfr., tra i tanti, il provvedimento del 4 dicembre 2019, n. 216, doc. web n. 9215890);

i principi fondanti del GDPR tra cui la liceità in termini di protezione dati (ex artt. 5, par. 1, lett. a), e 6 del GDPR), nonché la sussistenza dei presupposti di liceità giuslavoristici (ex art. 4 della l. 20 maggio 1970, n. 300) oltre al rispetto di quanto è fatto divieto al datore di lavoro di acquisire e comunque trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata (art. 8 della l. 20 maggio 1970, n. 300 e art. 10 d.lgs. 10 settembre 2003, n. 276, cui fa rinvio l’art. 113 del Codice). Ciò a maggiore garanzia di una delle condizioni di liceità del trattamento e la cui violazione determina, oltre all’applicazione di sanzioni amministrative pecuniarie ai sensi dell’art. 83, par. 5, lett. d) del GDPR, anche il possibile insorgere di responsabilità sul piano penale (cfr. art. 171 del Codice);

il rispetto da parte del titolare del trattamento di tutti principi generali (artt. 5, 24 e 25), ponendo in essere tutti quegli adempimenti previsti dalle disposizioni normative in materia di protezione dei dati personali (v. artt. 12, 13, 14, 30, 32 e 35 del GDPR);

in piena attuazione del principio di “accountability” è compito del titolare, scrive il Garante, “valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche – in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalità perseguite – che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali (cfr. cons. 90 e artt. 35 e 36 del Regolamento)”;

le linee guida concernenti “la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento”, WP 248 del 4 aprile 2017; cfr. cons. 75 e artt. 35 e 88, par. 2, del Regolamento; v. anche provv. 11 ottobre 2018, n. 467, doc. web n. 9058979, all. n. 1; v., tra gli altri, provv. 13 maggio 2021, n. 190, doc. web n. 9669974, par. 3.5, tenendo in debito conto delle indicazioni fornite anche a livello europeo sul punto, nella specie, in caso di raccolta e memorizzazione dei log della posta elettronica, considerata la particolare “vulnerabilità” degli interessati nel contesto lavorativo, nonché il rischio di “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti”.

La conservazione dei metadati in materia di controlli a distanza

Il documento di indirizzo rivisitato sul punto cruciale della conservazione dei metadati in materia di controlli a distanza, affinché sia ritenuto applicabile il comma II dell’art. 4 della Statuto dei lavoratori (L. n. 300/1970), si sbilancia dicendo che “tale conservazione non dovrebbe comunque superare i 21 giorni”, come anticipato.

Poi precisa che, dovendo assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, e quindi sempre nell’ambito della stessa finalità, l’eventuale data retention per un tempo ancora più ampio è possibile, ma solo in presenza di “particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente, in applicazione del principio di accountability, […] le specificità della realtà tecnica e organizzativa del titolare”.

Spetta al titolare, in caso di un’estensione ulteriore di 48 ore, “adottare tutte le misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati”.

In caso contrario, dice il Garante, “la generalizzata raccolta nonchè la conservazione di tali metadati dei log di posta elettronica, per un lasso di tempo più esteso – ancorché sul presupposto della sua necessità per finalità di sicurezza informatica e tutela dell’integrità del patrimonio, anche informativo, del datore di lavoro –” si configura un indiretto controllo a distanza dell’attività dei lavoratori che richiede senza dubbio l’esperimento di quelle garanzie ex art. 4, comma I, dello Statuto dei Lavoratori.

Conservazione dei metadati e responsabilità dei datori di lavoro

Circa le possibili responsabilità, nel caso in cui i datori di lavoro, tanto del comparto pubblico quanto di quello privato, conservino oltremodo detti metadati, sono svariate profilandosi aspetti di illiceità del trattamento circa l’impiego di programmi/servizi di gestione della posta elettronica, in assenza delle garanzia (accordo sindacale), prima dell’avvio circa l’attività di “preventiva e sistematica raccolta dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti” nonché alla loro conservazione per un arco temporale più ampio e cioè superiore a 21 giorni più 48 ore.

Profili di illiceità possono tuttavia derivare altresì, scrive il Garante “dall’utilizzo ulteriore dei dati personali, raccolti in assenza delle predette garanzie” (art. 4, comma III) evitando che per le finalità connesse alla gestione del rapporto di lavoro, siano utilizzati/trattati altri dati/informazioni senza fornire una “adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli” nel rispetto della privacy.

Per dunque concludere con l’affermazione a mente della quale “la generalizzata raccolta e la conservazione dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti, per un periodo di tempo esteso, in assenza di idonei presupposti giuridici, può, dunque comportare la possibilità per il datore di lavoro di acquisire, informazioni riferite alla sfera personale o alle opinioni dell’interessato e quindi non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore”.

La violazione del principio di correttezza e trasparenza

Il Garante richiama poi il principio secondo cui tutti i titolari del trattamento sono tenuti a “verificare che la raccolta e la conservazione dei log avvengano nel rispetto dei principi di correttezza e trasparenza nei confronti dei lavoratori e che i lavoratori siano stati adeguatamente informati sul trattamento dei dati personali relativi alle comunicazioni elettroniche che li riguardano”; dal momento che “è essenziale che gli interessati siano resi pienamente consapevoli delle complessive caratteristiche del trattamento (specificando i tempi di conservazione dei dati, gli eventuali controlli, ecc.)”.

Il principio della data retention

Sui tempi di conservazione dei metadati, richiamando quanto già sopra detto, non aggiunge molto di più anche rispetto al documento di indirizzo primigenio, se non sottolineare l’importanza/presenza delle finalità connesse alla sicurezza informativa e informatica, in considerazione della tutela del patrimonio annesso, rispondendo il tutto all’obiettivo principe che è quello di rilevare e mitigare eventuali incidenti di sicurezza, adottando tempestivamente le opportune contromisure.

I principi di privacy by design e by default

Importanti sono le considerazioni che il Garante fa in ordine alla privacy by design e by default sul tema.

Nella fattispecie ritiene che il datore di lavoro/titolare del trattamento debba “accertarsi che siano disattivate le funzioni che non sono compatibili con le proprie finalità del trattamento o che si pongono in contrasto con specifiche norme di settore previste dall’ordinamento, specie in ambito lavorativo, ad esempio commisurando adeguatamente anche i tempi di conservazione dei dati ovvero chiedendo al fornitore del servizio di anonimizzare i metadati raccolti nei casi in cui non si intenda effettuare una conservazione più prolungata degli stessi”.

Prospettiva interessante, la stessa peraltro che si deve applicare ai “produttori dei servizi e delle applicazioni debbano tenere conto del diritto alla protezione dei dati conformemente allo stato dell’arte”.

Ne consegue dunque anche i fornitori devono contribuire a far sì che i titolari del trattamento possano adempiere ai loro obblighi di protezione dei dati, contemperando le esigenze di commercializzazione su larga scala dei propri prodotti con la conformità al GDPR.

In tale prospettiva, saranno i produttori dei servizi e delle applicazioni, in fase di sviluppo e progettazione degli stessi, a (dover) tenere conto del diritto alla protezione dei dati tenuto conto dello stato dell’arte.

Ma questa indicazione sarà praticabile?

Possibili iniziative di compliance per tutti i datori di lavoro

I datori di lavoro pubblici e privati quindi dovranno adottare tutte le misure necessarie a conformare i propri trattamenti.

In particolare, spetterà al titolare del trattamento (datore di lavoro pubblico o privato) verificare con la dovuta diligenza che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service – consentano all’utente/cliente cioè datore di lavoro, di poter modificare le impostazioni di default, impedendo la raccolta dei metadati o limitandola, anche tenuto conto della previsione di cui al periodo di conservazione degli stessi ad un limite massimo di 21 giorni, estensibile di ulteriori 48 ore, alle condizioni sopra indicate.

In ogni caso, le indicazioni contenute nel documento di indirizzo rinnovato all’esito della consultazione pubblica, scrive il Garante “devono considerarsi valide anche nel caso in cui, in ambito pubblico, i programmi e servizi informatici […] siano acquistati mediante le convenzioni/piattaforme che le pubbliche amministrazioni devono o possono utilizzare per l’acquisto di beni e servizi”. In pratica, valgono per tutti i datori di lavoro.

E nel cloud, occorre far riferimento specie con riferimento al settore pubblico, alle indicazioni contenute nel report “2022 Coordinated Enforcement Action Use of cloud-based services by the public sector” del Comitato europeo, come il primo documento di indirizzo già prevedeva.

Conclusioni

La parte più interessante del documento ci pare essere proprio alla fine, laddove “ il Garante sottolinea il ruolo dei provider di posta, che non sempre può essere considerato un semplice responsabile, prefigurando precise responsabilità in termini di privacy by design in capo a loro”.

Metadati delle e-mail dei dipendenti: osservazioni sul provvedimento del Garante sottoposto a consultazione pubblica

I metadati delle comunicazioni di posta elettronica dei dipendenti possono essere conservati dai datori di lavoro, al più tardi, per 7 giorni, prorogabili con motivate ragioni per ulteriori 48 ore.

Lo ha stabilito il Garante all’interno di un provvedimento di indirizzo datato 21 dicembre 2023, reso pubblico il 6 febbraio 2024. Le nuove regole sui metadati hanno colto di sorpresa aziende e professionisti, sollevando malumori in dottrina, anche già solo per la mancanza di spiegazioni in merito alla determinazione di una durata così precisa, rigida e breve. La posizione dell’Autorità di controllo ha enormi impatti concreti, sia per le conseguenze bloccanti (inutilizzabilità dei dati) sia per i profili di responsabilità civile, amministrativa e perfino, in qualche caso, penale che il provvedimento in questione evoca.

Sull’onda delle ampie reazioni negative, il Garante ha deciso di sottoporre la congruità dei termini e di altri passaggi a consultazione pubblica con un pacchetto di atti amministrativi reso disponibile il 27 febbraio 2024. La consultazione si è aperta il 16 marzo con la pubblicazione del relativo avviso in G.U. (serie generale, n. 64) e avrà termine il prossimo 15 aprile.

Si può partecipare, facoltativamente, inviando osservazioni presso la sede di piazza Venezia n. 11 – 00187 Roma o all’indirizzo di posta elettronica ordinaria protocollo@gpdp.it oppure via pec a protocollo@pec.gpdp.it, indicando nell’oggetto «Consultazione sul termine di conservazione dei metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica».

Va tenuto in ogni caso presente che gli apporti che perverranno non vincolano in alcun modo l’Autorità: “I contributi inviati dai partecipanti alla consultazione non precostituiscono alcun titolo, condizione o vincolo rispetto ad eventuali successive determinazioni del Garante”.

Facciamo dunque un punto sull’intera vicenda, con l’auspicio che possa essere utile alle imprese e ai professionisti che intendono partecipare alla consultazione pubblica. In particolare, saranno analizzati:

  1. i passaggi essenziali del provvedimento sui metadati;
  2. la logica giuridica sottostante;
  3. i principali elementi di perplessità; e,
  4. a monte, la questione più generale se il Garante disponga o non disponga del potere di imporre preventivamente e in senso generale termini di conservazione. Sia permesso sottolineare l’importanza di quest’ultimo punto, che costituisce la premessa logica idonea a travolgere non solo l’intera operazione prescrittiva del Garante ma anche tutte le altre similari su argomenti diversi.

I passaggi essenziali del provvedimento di indirizzo

Punto di partenza del ragionamento è che i metadati delle mail dei dipendenti sono dati personali, come tali sono sottoposti alla disciplina del GDPR, il Regolamento (UE) 2016/679. Il passaggio è incontestabile, nella misura in cui essi siano collegati a un account email riferibile a uno specifico individuo. La nozione di “dato personale” è infatti quella di “qualsiasi informazione”, purché “riguardante una persona fisica” almeno identificabile, cfr. art. 4.1) GDPR.

Siccome la persona fisica in questione è un lavoratore subordinato, viene intercettata non solo la normativa sulla protezione dei dati personali, ma anche quella giuslavoristica, e in particolare – almeno in ipotesi – l’art. 4 dello Statuto dei lavoratori, l. 300/1970, che proibisce, in linea generale, i controlli a distanza sui dipendenti.

Ma perché l’Autorità italiana sui dati personali dovrebbe occuparsi dell’art. 4 dello Statuto? Anche questo è in realtà un punto pacifico. Occorre infatti tenere presente che il principale tassello della normativa italiana di adeguamento al GDPR, ossia il cd. “codice privacy”, d.lgs. 196/2003, richiama appunto espressamente il menzionato articolo 4 dello Statuto, vedasi in proposito gli artt. 114 e 171 cod. priv.. È del resto lo stesso terzo comma della disposizione lavoristica in esame a prescrivere espressamente il “rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”. Tali molteplici collegamenti permettono, e nello stesso tempo perimetrano, la diretta competenza del Garante.

Fermata dunque la cornice giuridica, veniamo al contenuto. I metadati di cui viene prescritta la conservazione per, al più tardi, 7/9 giorni sono, in via esemplificativa, i seguenti: “giorno, ora, mittente, destinatario, oggetto e dimensione dell’email”. Nel provvedimento del 21 dicembre 2023 non era fornita una soddisfacente definizione dei processi coinvolti, il che ha aperto a speculazioni e ipotesi.

Poi, nell’ultimo pacchetto di precisazioni l’Autorità di controllo ha lasciato intendere che i processi sono quelli riguardanti i “metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica e relativi alle operazioni di invio, ricezione e smistamento dei messaggi di posta elettronica (che possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei computer coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione e di ricezione, la dimensione del messaggio, la presenza e la dimensione degli eventuali allegati, in certi casi anche l’oggetto del messaggio spedito o ricevuto)”, cfr. GPDP, Provv. 24 febbraio 2024, avviso pubblico di avvio della consultazione. Un perimetro dunque molto vasto. I trattamenti descritti sono evidentemente necessari al funzionamento stesso dei protocolli di gestione della posta elettronica, rilievo che rende ancora più drastico e impattante il provvedimento di indirizzo.

Gli ulteriori passaggi salienti esposti dal Garante appaiono i seguenti:

  • la conservazione dei metadati, anche di durata molto breve, va puntualmente motivata e contenuta;
  • deve essere, verosimilmente, preceduta da una valutazione d’impatto (DPIA);
  • fermo restando che può essere effettuata solo per finalità lecite, va preventivamente concordata con le rappresentanze sindacali oppure autorizzata dall’Ispettorato nazionale del lavoro (INL) ove superi il predetto termine massimo di 7/9 giorni.

I temi toccati sono in realtà più ampi e complessi, ma credo che quelli sopra esposti costituiscano una buona sintesi degli snodi più rilevanti. Sono tutti conseguenze applicative della sottostante logica giuridica seguita dall’Autorità.

La logica giuridica sottostante

L’art. 4 dello Statuto fu introdotto all’inizio degli anni ’70 con un preciso obiettivo: tutelare i dipendenti da videocamere di sorveglianza e/o microfoni, quali strumenti di controllo a distanza. Una garanzia che esprime lucidità e capacità di governare anche le future evoluzioni dei contesti di lavoro.

Mentre gli “impianti audiovisivi” restano ancora oggi l’oggetto principale della disposizione anche dopo le modifiche intervenute, come si evince sia dalla rubrica sia, soprattutto, dal primo comma, richiede invece un passaggio motivazionale in più, non immediato e non pacifico, considerare i metadati delle email alla stregua di “altri strumenti di controllo”, come fa appunto il Garante.

Orbene, affinché sia consentito l’uso di strumenti “dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori” occorrono due condizioni essenziali, come si è accennato: (i) che i controlli siano posti in essere per specifiche finalità lecite indicate dal legislatore; (ii) che sia in ogni caso raggiunto un previo accordo sindacale o, in mancanza, sia ottenuta un’autorizzazione dell’INL.

Si danno due casi sottratti al meccanismo generale descritto: quello degli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” e quello degli “strumenti di registrazione degli accessi e delle presenze”. Ora, la posta elettronica cade, pacificamente, nel primo gruppo, serve cioè a svolgere la prestazione lavorativa, tuttavia secondo il Garante, decorsi 7/9 giorni, ciò non sarebbe più vero rispetto ai relativi metadati, come se il passare del tempo determinasse il cambiamento ontologico di questi ultimi, vale a dire come se essi cessassero improvvisamente di essere una componente necessaria dello strumento di lavoro. Il passaggio appare privo di convincente motivazione, ma da esso l’Autorità trae il sicuro obbligo di assolvere alla descritta procedura di accordo/consultazione.

Il resto del provvedimento d’indirizzo è piuttosto riconducibile all’applicazione diretta di disposizioni del GDPR, in particolare all’articolo 5 che enuncia i principi da osservare nel trattamento di dati personali. La previsione, è noto, costituisce uno dei componenti strutturali della normativa, come più volte evidenziato dalla Corte di giustizia.

Infine, l’obbligo, se del caso, di procedere a DPIA va collegato all’art. 35 GDPR e soprattutto alle linee guida del 4 ottobre 2017 pubblicate e ratificate dalle autorità di controllo dell’Unione sui dati personali, vale a dire Garante e omologhi (ex WP29/EDPB).

Principali punti critici del provvedimento sui metadati

Termine privo di motivazione – Uno dei più evidenti elementi di perplessità, come osservato dai più, è che la precisazione del termine di conservazione di 7/9 giorni appare introdotta dal Garante senza alcuna motivazione. Manca cioè del supporto di un ragionamento che la renda verificabile razionalmente e giustificata giuridicamente. Inoltre, manca di un collegamento logico con il conseguimento della specifica finalità per cui i metadati sono trattati. Per la precisione, le finalità di trattamento possono qui essere più d’una, sono anzi certamente più d’una, dunque vanno necessariamente definiti tempi di durata diversi. Già questa considerazione appare inconciliabile con il termine massimo unico prescritto dall’Autorità. In definitiva, è proprio l’articolo 5 GDPR a imporre un approccio complesso, ispirato a necessità e proporzionalità, e motivato in stretta relazione alle finalità conseguite.

Il provvedimento non riguarda direttamente i grandi fornitori di soluzioni cloud – “È emerso” indica l’Autorità “il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere, per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti […], conservando gli stessi per un esteso arco temporale”. Da questa premessa, ci si attenderebbe che il Garante attenzioni prima di ogni altra cosa tali grandi fornitori, anziché la moltitudine delle società e dei professionisti che se ne servono. L’Autorità è tenuta infatti a verifiche nei confronti dei responsabili del trattamento (tali sono i prestatori delle soluzioni in cloud) ove se ne ipotizzi la violazione dell’art. 32 GDPR. Sarebbe apparso l’approccio più efficace, poiché svolto nei confronti di pochi soggetti alla fonte, e tutto sommato più equo, visto che lo stesso Garante riconosce che i grandi fornitori pongono talvolta altresì “limitazioni al cliente (datore di lavoro) in ordine alla possibilità di modificare le impostazioni di base del programma informatico al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi”. La leva è in definitiva nelle mani di software house di primo piano, che tuttavia, a parte un generico invito a “a tenere conto del diritto alla protezione dei dati tenuto conto dello stato dell’arte”, appaiono fuori dal raggio applicativo del provvedimento.

I metadati sono parte essenziale della posta elettronica – I metadati sono componenti essenziali dello strumento di posta elettronica, e non solo perché contenuti negli header, ma in senso più ampio e pregnante: una corrispondenza senza mittente, destinatario, data, oggetto non è più una corrispondenza, ma testo libero, inutilizzabile. Uno strumento di lavoro deve essere integro e disponibile per tutto il tempo necessario all’attività per cui è adottato.

Il provvedimento del Garante è contemporaneamente prescrittivo e carente degli elementi per esserlo – Indubbiamente l’enunciazione di un termine così netto, 7/9 giorni, costituisce un passaggio prescrittivo incapsulato entro il corpo di linee guida. Come tale, i destinatari del precetto dovrebbero poterlo impugnare. Tuttavia, il provvedimento che ci occupa manca della precisazione della possibilità di ricorso, che è invece necessaria nei provvedimenti vincolanti dell’Autorità, come peraltro ricorda anche il considerando 129 GDPR. Ciò determina una notevole anomalia e reca pregiudizio al diritto di difesa dei destinatari dell’obbligo. Questa considerazione apre anche il ragionamento all’obiezione principale: può il Garante introdurre liberamente termini di conservazione dei dati personali di portata generale e preventiva?

Il Garante non può derogare al principio di accountability

Il punto centrale è qui proprio l’art. 5 GDPR, che al paragrafo secondo introduce il noto principio di “accountability”, in italiano “responsabilizzazione”. Non che il Garante non lo menzioni nel provvedimento sui metadati, ma lo fa senza trarne le radicali conclusioni che ne derivano linearmente.

In base a tale principio, non compete all’autorità di controllo, ma al titolare del trattamento (quindi al datore di lavoro), stabilire i termini di conservazione dei dati personali. Ogni titolare del trattamento potrà determinarli in maniera diversa, vale a dire con durate diverse, e dovrà, ovviamente, essere in grado di motivare il termine scelto. Per farlo, dovrà inoltre individuare le finalità di trattamento dei metadati, calandole, nella misura possibile, sul suo caso concreto, e collegare a ciascuna di esse una durata. Va cioè escluso che si possano avere termini assolutamente coincidenti per più titolari e che siano sovrapponibili i termini di conservazione dei metadati per finalità di utilizzo della posta elettronica come strumento lavorativo, quelli di conservazione degli stessi per finalità di sicurezza informatica oppure ancora quelli di conservazione per finalità di esercizio e tutela di diritti. Cade con ciò completamente, ad avviso di chi scrive, la logica del termine massimo unico.

Ora, la regola dell’accountability costituisce un principio portante del GDPR, per questo ha destato stupore che il provvedimento in commento lo abbia sostanzialmente ignorato o, meglio, ridotto a operare entro lo spazio massimo di conservazione fissato invece d’autorità dal Garante.

La posizione centrale, di pilastro della normativa, occupata dall’art. 5 si riflette peraltro sulla sussistenza di limitatissime deroghe allo stesso. Nella specie nessuna di esse appare ravvisabile. Questo pone un limite fondamentale all’iniziativa del Garante, e soprattutto lo pone a monte.

Neppure la normativa nazionale richiamata come base del provvedimento d’indirizzo, ossia il comma 1, lett. a) dell’art. 154-bis cod. priv. sembra consentire contenuti prescrittivi: il legislatore parla chiaramente di “linee guida”, ossia testi di semplice chiarimento della disciplina in vigore.

Resta in ogni caso fermo che la normativa di adeguamento nazionale, come è appunto il codice privacy, non potrebbe mai introdurre deroghe all’art. 5 GDPR fuori dalle pochissime ipotesi consentite dal Regolamento.

Conclusioni

La conservazione così breve dei metadati delle email di lavoro è chiaramente problematica per ogni attività economica privata, ma anche per l’agire pubblico (le previsioni in parola si applicano infatti anche alla pubblica amministrazione). Introduce inoltre un’impraticabile riduzione a una sola durata di periodi necessariamente diversi perché rispondenti a finalità diverse, rimesse alla competenza di ciascun titolare, a cui incombe naturalmente l’onere di dimostrarne la congruità.

Dunque è certamente positivo che il Garante abbia voluto creare, sia pure in seconda battuta, un’occasione di ampio coinvolgimento quale è appunto una consultazione pubblica. È altresì chiaro, per la stessa ragione, che questa volta qualcosa non ha funzionato inizialmente nei meccanismi interni di controllo dell’Autorità sui propri atti amministrativi. Lo dimostra la circostanza stessa che la consultazione pubblica investe elementi centrali del provvedimento d’indirizzo, vale a dire la “congruità […] del termine di conservazione dei metadati” “e più in generale […] le forme e modalità di utilizzo” degli stessi. L’auspicio è dunque che l’Autorità, ad esito della consultazione, ponga mano a una revisione radicale degli elementi di natura precettiva. Preceduta o no da consultazione pubblica, la fissazione di termini di durata appare infatti possibile, ai sensi del GDPR, soltanto al datore di lavoro titolare del trattamento, che non può trovarsi chiuso, entro una stretta gabbia temporale imposta d’ufficio dall’Authority.