A cura di

dott. Marco Massimini – Amministratore Unico e Project Manager di Privacy.it

dott. Paolo Dal Checco – Consulente Informatico Forense e docente

avv. Giovanni Vidal - Collaboratore Privacy.it (Greco Vitali Associati)

Pubblicato in data 18-07-2024

1 – Premessa

Con l’avvento di Internet negli anni ’90, l’email si è subito imposta quale rivoluzionario mezzo di comunicazione professionale, oltre che personale. Più di recente, la stessa accelerazione tecnologica che sta vieppiù trasponendo in digitale il nostro modo di interagire e socializzare, ha arricchito la vita lavorativa di nuove soluzioni tramite cui fare networking e fornire i propri contributi prestazionali in modalità connessa (e, spesso, “always on”): il collaboratore moderno si deve destreggiare tra applicazioni smart, videocall, chat real time, software gestionali, tool e piattaforme di vario genere. Ciononostante, la posta elettronica rimane la spina dorsale dell’interazione professionale, l’architrave su cui poggiano le comunicazioni intra ed extra aziendali di cui finisce per essere anche preziosissima repository. In altre parole, l’email è ancor’oggi lo strumento di lavoro irrinunciabile per eccellenza: il più diffuso, il più utilizzato, il più ubiquo.

In tutte le organizzazioni (siano esse aziende, pubbliche amministrazioni, studi professionali, associazioni, o altro ancora) attraverso la posta elettronica, i dipendenti collaborano tra loro, si rapportano ai superiori, sviluppano progetti, perseguono obiettivi, negoziano contratti, assumono decisioni, richiedono permessi, giustificano assenze, esprimono opinioni, e molto altro. Un server di posta elettronica colleziona costantemente ed ordinatamente questa miriade di input e output relazionali finendo per ospitare una quota fondamentale del patrimonio informativo aziendale. In quello storage, per ogni account, è custodita ed aggiornata in tempo reale la storia delle interazioni effettuate dal suo assegnatario, ognuna delle quali reca con sé non solo ciò che è ben visibile a mittente e destinatari (intestazioni, corpo del testo ed eventuali allegati), ma anche ciò che essi non vedono: ossia, log e altri dati tecnici necessari al funzionamento e alla sicurezza del sistema.

Non sfugge a nessuno che questa messe di bit – se attenzionata dal datore di lavoro – è in grado di rivelare informazioni utili sulle condotte di un determinato user aziendale e può, dunque, consentire l’effettuazione di importanti valutazioni sul dipendente che possono arrivare a concernere le performance, l’attitudine, il livello di “engagement” e finanche la fedeltà e l’onestà del suo operato. Quel che forse è meno noto ai più, è che, in certa misura, tali informazioni sono ottenibili anche prescindendo da un’indagine pervasiva sui contenuti prodotti dallo user (testo e allegati); per comprendere l’utilizzo che viene fatto dello strumento e trarne determinate valutazioni, può essere infatti sufficiente monitorare/analizzare i soli dati tecnici che il sistema di posta genera automaticamente per tracciare e garantire il processo di presa in carico, smistamento e archiviazione del messaggio elettronico.

Vi è, dunque, la possibilità di eseguire controlli a distanza sui dipendenti tramite analisi dei dati tecnici dei sistemi di posta elettronica e tale circostanza può indubbiamente incidere sulle tutele accordate dalla normativa in materia di protezione dei dati personali (“GDPR” e “Codice Privacy”) e da quella sulla libertà e dignità dei lavoratori (Legge 300/1970 – “Statuto dei Lavoratori”).

Per tale ragione, il Garante per la protezione dei dati personali (“Garante”) ha sentito l’esigenza di accendere un faro sulla questione, richiamando l’attenzione dei datori di lavoro e degli email provider con il “Provvedimento del 6 giugno 2024 – Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (“Provvedimento”). Il documento è di estremo interesse per tutte le imprese e, più in generale, per tutte le organizzazioni con dipendenti, anche perché comporta specifiche implicazioni sia sul piano operativo che procedurale.

Il Provvedimento ha aggiornato e sostituito il Documento di Indirizzo del 21 dicembre 2023 che aveva immediatamente destato diverse perplessità e richieste di chiarimento, al punto da indurre il Garante ad avviare una consultazione pubblica dai cui esiti è scaturita l’attuale stesura.

La nuova versione del Provvedimento, secondo le intenzioni del Garante, si propone di “agevolare la comprensione dell’ambito dei trattamenti presi in considerazione […] al fine di promuovere la consapevolezza delle scelte tecniche e organizzative dei datori di lavoro […] inoltre, di fornire indicazioni anche in merito ai criteri che possano orientare le scelte dei datori di lavoro nell’individuazione dell’eventuale periodo di conservazione […].

Come si evidenzierà nel prosieguo del presente scritto, tale obbiettivo ci sembra essere stato raggiunto, ma solo in parte: il Provvedimento, pur avendo chiarito alcuni aspetti importanti e definito in modo più preciso il perimetro di applicabilità dello stesso, non ha infatti fugato tutti i dubbi interpretativi del suo predecessore ed anzi, per un certo verso, ne ha introdotti di nuovi. L’assenza di ombre interpretative avrebbe sicuramente giovato, consentendo fin da subito alle organizzazioni interessate di impostare (o far impostare), senza dubbi o timori di sorta, i propri sistemi di posta elettronica nel rispetto dei principi della normativa sulla protezione dei dati personali e nel rispetto dei diritti dei lavoratori.

Infatti, pur trattandosi di un documento di indirizzo e, quindi, di un provvedimento che, come ha avuto cura di precisare lo stesso Garante, “non reca prescrizioni né introduce nuovi adempimenti” e da cui “non discendono nuovi adempimenti o responsabilità”, non sfuggirà che disattenderne le indicazioni significherebbe ignorare l’interpretazione autentica resa da un’Autorità – il Garante per l’appunto – che è anche l’organismo deputato a valutare le violazioni della normativa in materia di protezione dei dati personali ed a irrogare le relative sanzioni amministrative.

Nel prosieguo del presente approfondimento, ci soffermeremo sui punti principali del Provvedimento, evidenziandone luci ed ombre. Ci focalizzeremo, altresì, su un aspetto null’affatto secondario, ossia sulle possibili ricadute in tema di sicurezza informatica anche con riguardo all’ambito processuale e investigativo.

2 – A quali metadati si riferisce il Provvedimento

Il Provvedimento, innanzitutto, chiarisce (cfr. paragrafo 1) cosa si debba intendere per metadati di posta elettronica (alternativamente definiti “log di posta elettronica”) ai sensi del Provvedimento medesimo, definendo così a quali metadati di posta siano applicabili le indicazioni in esso contenute: “I metadati cui fa riferimento il presente documento di indirizzo, sottoposto a consultazione pubblica, corrispondono tecnicamente alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client (le postazioni terminali che effettuano l’invio dei messaggi e che consentono la consultazione della corrispondenza in entrata accedendo ai mailbox elettroniche, definite negli standard tecnici quali MUA – Mail User Agent)”.

Per quanto riguarda le tipologie di informazioni registrate nei log, esse “possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto”.

Al riguardo, il Garante ha altresì precisato che tali metadati/log hanno la caratteristica di essere “registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione della volontà dell’utilizzatore”.

Dopo aver chiarito quali sono i metadati a cui si applica il Provvedimento, il Garante precisa che essi “non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate – ancorché talvolta non immediatamente visibili agli utenti dei software “client” di posta elettronica (i cosiddetti MUA – Mail User Agent) – a formare il cosiddetto envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici. Le informazioni contenute nell’envelope, ancorché corrispondenti a metadati registrati automaticamente nei log dei servizi di posta, sono inscindibili dal messaggio di cui fanno parte integrante e che rimane sotto l’esclusivo controllo dell’utente (sia esso il mittente o il destinatario dei messaggi)”.

Per sintetizzare, quindi, si può quindi affermare che:

  • solo i primi (metadati/log generati dagli MTA/MUA) formano oggetto del Provvedimento e solo ad essi si riferiscono pertanto le indicazioni del Garante;
  • le limitazioni in termini di data retention che vedremo di seguito “non riguardano i contenuti dei messaggi di posta elettronica (né le informazioni tecniche che ne fanno comunque parte integrante) che rimangono nella disponibilità dell’utente/lavoratore, all’interno della casella di posta elettronica attribuitagli”;
  • le limitazioni non riguardano neanche – come approfondiremo più avanti – i dati di log relativi all’accesso da parte degli utenti alle caselle di posta elettronica, né log di eventuali cancellazioni di email, spostamenti di folder/label, lettura di messaggi, forward automatici, etc… che esulano dalle tracce d’invio e ricezione.

Quindi body-part e envelope del messaggio non soggiacciono alle restrizioni indicate nel Provvedimento.

Si tratta di una delimitazione dell’ambito di applicazione del Provvedimento del tutto opportuna, che ne circoscrive in modo certamente utile l’applicabilità e rappresenta uno degli aspetti più positivi del Provvedimento in esame.

3 – Conservazione dei metadati e controllo a distanza dei dipendenti

Il punto più importante – e operativamente più impattante – del Provvedimento è quello relativo al termine di conservazione dei metadati (come sopra definiti).

A tal proposito, il Garante (cfr. paragrafo 3 del Provvedimento) “suggerisce” che la conservazione dei metadati/log necessari ad assicurare il funzionamento della posta elettronica sia effettuata “per un periodo limitato di pochi giorni” e, in ogni caso, non dovrebbe superare il limite “orientativo” di 21 giorni dalla loro registrazione.

In caso di conservazione dei metadati per un termine non superiore ai 21 giorni, secondo il Garante sarebbe applicabile il comma 2 dell’art. 4 della Legge 300/1970 (“Statuto dei Lavoratori”) e pertanto non sarebbe necessario ottenere l’accordo sindacale o l’autorizzazione dell’Ispettorato del lavoro.

Si tratta di una bella differenza rispetto al termine di 7 giorni stabilito nella prima stesura del documento che tanto aveva fatto discutere in considerazione della sua brevità.

Seppure il linguaggio usato dal Garante presti in qualche modo il fianco all’incertezza (ad esempio, quando parla di limite “orientativo”) e nonostante non siano stati resi noti i criteri che hanno portato a suggerire un termine massimo di 21 giorni, l’estensione da 7 a 21 giorni è certamente apprezzabile e rappresenta uno degli aspetti più meritori del Provvedimento in esame.

Il Garante chiarisce, inoltre, che la conservazione per un termine superiore ai 21 giorni è possibile; ma, a bene vedere, ciò dovrà avvenire a condizioni ben più impegnative.

Al riguardo, l’Autorità ha previsto che “Sempre nell’ambito della predetta finalità (assicurare il funzionamento delle infrastrutture del sistema della posta elettronica), a cui risulta applicabile il comma 2 dell’art. 4 della L. n. 300/1970, l’eventuale conservazione per un termine ancora più ampio [rispetto al termine di 21 giorni, ndr.] potrà essere effettuata, solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente, in applicazione del principio di accountability previsto dall’art. 5, par. 2, del Regolamento, le specificità della realtà tecnica e organizzativa del titolare. Spetta in ogni caso al titolare adottare tutte le misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati.

Diversamente, la generalizzata raccolta e la conservazione dei log di posta elettronica, per un lasso di tempo più esteso, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta L. n. 300/1970 […]. Resta fermo che anche tale conservazione dovrà avvenire nel rispetto del principio della limitazione della conservazione”.

Ed è proprio nell’interpretazione del passaggio sopra riportato che, ad avviso di chi scrive, sorgono i maggiori problemi.

Infatti, su questo aspetto il Garante sembrerebbe (diciamo “sembrerebbe” proprio perché il testo del paragrafo 3 del Provvedimento lascia spazio a dubbi) declinare il maggior aggravio in due differenti gradazioni, a seconda dell’ampiezza del termine di conservazione ulteriore.

Al riguardo, purtroppo, l’Autorità non fornisce un’indicazione perlomeno orientativa sul quantum di questi termini di conservazione ulteriore, lasciando chi è chiamato a garantirne la compliance (vale a dire ciascun datore di lavoro e chi lo supporta) in un limbo interpretativo che – considerate anche le finalità del Provvedimento– sarebbe stato meglio superare.

Tuttavia, se ci si appella allo “spirito” del GDPR e ad alcuni spunti resi dal Garante nella prima versione del Provvedimento, si può azzardare una qualche delineazione di questi lassi temporali.

Vediamo, allora, come potrebbero configurarsi i due scenari di sconfinamento rispetto al termine di 21 giorni:

Scenario A

Il primo scenario riguarda “l’eventuale conservazione per un termine ancora più ampio” rispetto ai 21 giorni, dove per “più ampio” potrebbe – a nostro avviso – intendersi uno sconfinamento limitato a pochi giorni: prudenzialmente, possiamo ipotizzare uno sconfinamento limitato alle 48 ore (termine che era considerato uno scostamento accettabile anche nel Provvedimento di dicembre ma rispetto alla deadline base di 7 giorni ivi indicata).

In tale contesto, il Garante ha precisato che la conservazione ulteriore potrà essere effettuata (applicandosi sempre il comma 2 dell’art. 4 dello Statuto dei Lavoratori) solo in presenza di “particolari condizioni che ne rendano necessaria l’estensione” che dovranno essere comprovate dal titolare del trattamento in base al principio di accountability stabilito dal GDPR. Ciò significa che, con tutta probabilità, il datore di lavoro dovrà svolgere internamente i procedimenti di assessment quali il Data Protection Impact Assessment (DPIA) e/o il Legitimate Interest Assessment (LIA) per valutare/attestare che la necessità di conservazione ulteriore non pregiudichi i diritti degli interessati (ossia, i dipendenti) che – bene ricordarlo, specie quando si è chiamati ad eseguire tali attività di bilanciamento – sono da considerarsi parte vulnerabile nel rapporto di lavoro.

Nel caso il DPIA e/o il LIA restituiscano esito positivo, la conservazione ulteriore sarebbe da presumersi legittima ed è effettuabile anche in assenza delle procedure di garanzia del comma 1 dell’art. 4 dello Statuto dei Lavoratori. Ad avviso di chi scrive, in ragione di precise ed acclarate necessità ed a fronte di DPIA e LIA ben dettagliati e dall’esito positivo – si potrebbe probabilmente impostare uno sconfinamento anche superiore alle 48 ore (ipotizziamo, fino a un massimo di 7 giorni) senza particolare timore di incorrere in sanzioni. Se, infatti, l’attuale termine indicativo del Garante è di 21 giorni ed egli stesso ammette un “termine ancor più ampio” senza che si debbano espletare le procedure sindacali/amministrative, è ragionevole – in un’ottica di proporzionalità – che l’allungamento pari ad un terzo del termine indicativo non costituirebbe estensione sovradimensionata. E, d’altro canto, c’è da chiedersi quale siano quelle particolari condizioni che rendano necessaria una conservazione di sole 48 ore in più e se valga la pena effettuare quegli assessment per legittimare un’estensione tanto esigua. Ciò detto, chi vorrà estendere il termine riducendo al minimo il rischio di violare il comma 1 dell’art. 4 dello Statuto dei Lavoratori, farà bene ad optare per uno scostamento minimale.

Scenario B

Il secondo scenario si configura laddove il Garante, proseguendo nella descrizione della casistica, asserisce che “Diversamente, la generalizzata raccolta e la conservazione dei log di posta elettronica, per un lasso di tempo più esteso, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1 (…)” dello Statuto dei Lavoratori, ossia, come già detto, accordo sindacale o autorizzazione dell’Ispettorato del lavoro. Questo perché la generalizzata raccolta e conservazione dei metadati per un periodo più esteso rispetto a quello indicato, può determinare un “indiretto controllo a distanza” dell’attività dei lavoratori.

Per “lasso di tempo più esteso” qui bisognerebbe intendere un termine superiore a quello sub A e quindi – prudenzialmente – dai 23 giorni (21 + 48 h) in su.

Per sintetizzare, la posizione del Garante relativamente alla specifica disciplina in materia di controlli a distanza risulta la seguente:

  • il comma 1 dell’art. 4 dello Statuto dei Lavoratori individua tassativamente le finalità (ovvero quelle organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale) per le quali gli strumenti, dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere impiegati nel contesto lavorativo solo adottando precise garanzie procedurali (accordo sindacale o autorizzazione pubblica);
  • lo Statuto dei Lavoratori prevede un’eccezione laddove stabilisce (al comma 2 dell’art. 4) che le predette garanzie non trovano applicazione rispetto “agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” quale è l’account email aziendale in uso al dipendente. In questi casi, è dunque possibile registrare e conservare i metadati in assenza di accordo sindacale o autorizzazione pubblica, purché tali attività siano volte ad assicurare il funzionamento e la sicurezza delle infrastrutture del sistema della posta elettronica;
  • l’eccezione di cui comma 2 dell’art. 4 dello Statuto dei Lavoratori non opera – secondo l’interpretazione del Garante – ad libitum ma fino ad un massimo di 21 giorni, oltre ad un eventuale breve sconfinamento (di cui all’ipotesi sub A sopra descritta). Trascorso detto termine, l’entità dell’elemento temporale configurerebbe in sé un fattore di rischio che fa decadere l’eccezione e che, riattivandosi la disciplina del comma 1 dell’art. 4, implica il ricorso alle procedure autorizzative (sindacali o amministrative). Va da sé che l’esperimento anche positivo di tali procedure non esimerebbe il datore/titolare dal dover eseguire internamente le attività di assessment GDPR (ossia, DPIA/LIA) che il Garante già ritiene necessarie per la situazione di minor rischio di cui che abbiamo anzi descritto al punto A.

Per completezza d’informazione – e a conferma della poca chiarezza del Provvedimento quando si riferisce alla conservazione dei metadati per più di 21 giorni – va dato atto del fatto che altri commentatori hanno interpretato il passaggio citato del paragrafo 3 del Provvedimento in modo diverso. In sintesi:

  • secondo alcuni, i casi sarebbero solo due, vale a dire (i) conservazione sino a 21 giorni, con applicazione del 2° comma dell’art. 4 dello Statuto dei Lavoratori, e (ii) conservazione oltre il termine di 21 giorni, con applicazione del 1° comma dell’art. 4;
  • secondo altri, la differenza tra i casi sopra indicati non deriverebbe tanto dalla durata più o meno limitata dello “sconfinamento” rispetto al termine di 21 giorni, quanto dal fatto che il datore che, in ragione delle proprie specificità, dovesse riscontrare “condizioni particolari” che rendano necessaria l’estensione del periodo di conservazione per un termine superiore a 21 giorni ricadrebbe nell’applicazione del 2° comma dell’art. 4, mentre chi conserva i metadati – sempre oltre 21 giorni – ma in modo generalizzato e senza le suddette condizioni particolari, ricadrebbe nell’alveo del 1° comma dell’art.4.

Si tratta di interpretazioni alternative che, soprattutto con riferimento alla seconda tra quelle sopra citate, non ci sentiamo di scartare in modo categorico, ma che non convincono appieno chi scrive perché non sembrano perfettamente in linea con il tenore letterale del Provvedimento: sarebbe quindi auspicabile ricevere ulteriori interventi chiarificatori da parte del Garante.

4 – LIA o DPIA?

Ci si potrebbe chiedere quale tipo di assessment debba, in osservanza del principio di accountability richiamato nel Provvedimento, eseguirsi e in quali circostanze. Come già anticipato, l’alternativa non può essere che tra il Data Protection Impact Assessment (DPIA) e il Legitimate Interest Assessment (LIA).

Ricordiamo che il DPIA è la valutazione di impatto sulla protezione dei dati espressamente prevista dall’art. 35 del GDPR, che si rende necessaria “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche (…)”. Per comprendere se un determinato trattamento debba, o meno, essere oggetto di un DPIA occorre fare riferimento alle “Linee guida concernenti la valutazione di impatto sulla protezione dei dati” emanate dall’allora consesso dei garanti europei (Working Party art. 29 – “WP”, dal 2018 sostituito dall’European Data Protection Board) nel documento WP 248 del 4 aprile 2017 nonché all’elenco di trattamenti da assoggettarsi a DPIA emanato dal Garante nel 2018 in forza di quanto prevista dall’art. 35, par.4 del GDPR. Il DPIA è un adempimento piuttosto impegnativo, considerato che deve quantomeno i seguenti elementi:

  1. una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
  2. una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  3. una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e
  4. le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

L’obbligatorietà di una DPIA dipende dal rischio elevato riconnesso ad un trattamento, indipendentemente da quale sia la base giuridica del trattamento stesso (consenso, contratto, obbligo di legge, interesse legittimo, etc.). Diversamente, il LIA è un assessment riferito ad una specifica base giuridica del trattamento, vale a dire il legittimo interesse e, come tale, consiste in una procedura di valutazione sintetica circa la sussistenza di tale interesse e la sua prevalenza, o meno, rispetto ad eventuali diritti contrapposti degli interessati. Il LIA non è espressamente previsto dal GDPR, ma può fornire un importante contributo in termini di accountability ed è caldeggiata – fin dal 2014 – dal consesso europeo delle Data Protection Authorities (vedasi specifico parere reso dal WP in tema di interesse legittimo). Indicativamente la valutazione in esame può suddividersi in 3 fasi:

  1. Test di scopo: fase utile ad identificare le finalità che spingono il titolare a perseguire quel determinato interesse e a dimostrare che sia legittimo;
  2. Test di necessità: fase finalizzata a valutare se il trattamento è necessario e proporzionato rispetto alle suddette finalità;
  3. Test di bilanciamento: fase in cui si considerano tutti i fattori precedentemente analizzati ed in cui si valuta se l’interesse legittimo prevalga, o meno, sull’interesse o i diritti e le libertà fondamentali della persona interessata dalla tutela dei dati.

Laddove si esegua un DPIA in riferimento ad un dato trattamento basato sul legittimo interesse, potrebbe essere superfluo effettuare un LIA, dal momento che la valutazione di impatto ex art. 35 del GDPR comporta – tra le altre cose – uno specifico assessment della base giuridica sottesa al trattamento e, di fatto, fornirà un assessment del legittimo interesse in questione.

Il Provvedimento non cita il LIA, ma solo il DPIA. Il Garante, anche richiamando le citate Linee Guida del WP in tema di DPIA, ha precisato che questo adempimento è necessario in caso di raccolta e memorizzazione dei log della posta elettronica, stante la particolare “vulnerabilità” degli interessati nel contesto lavorativo, nonché il rischio di “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti”.

Tuttavia, considerato che, nel paragrafo 3 del Provvedimento, il Garante afferma che “affinché sia ritenuto applicabile il comma 2 dell’art. 4 della L. n. 300/1970, l’attività di raccolta e conservazione dei soli metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione, si ritiene che possa essere effettuata, di norma, per un periodo limitato a pochi giorni”, è da presumere che laddove la conservazione dei metadati sia limitata ad un massimo di 21 giorni, essa sia meramente finalizzata ad assicurare il funzionamento del sistema di posta elettronica e non presenti particolari profili di rischio circa il possibile monitoraggio dei dipendenti. Alla luce di quanto sopra, si può quindi ragionevolmente ritenere che il DPIA non sia necessario in caso di conservazione dei metadati fino a 21 giorni, nulla vietando al titolare di effettuare comunque una LIA per rendere conto della legittimità degli interessi sottesi al trattamento.

Seguendo lo stesso ragionamento, qualora – per effetto di una conservazione “generalizzata” per “un lasso di tempo più esteso” rispetto ai 21 giorni – si applichi il comma 1 dell’art. 4 dello Statuto dei Lavoratori, è da ritenere che il DPIA sia obbligatorio.

Resta da capire se, nel caso di estensione minimale rispetto al termine dei 21 giorni che rientri nel campo di applicazione del comma 2 dell’art. 4 dello Statuto dei Lavoratori, il DPIA sia necessario o possa essere un sufficiente un LIA. Ad avviso di scrive, un’estensione molto limitata del termine orientativo indicato dal Garante, non dovrebbe rendere imprescindibile l’esecuzione di un DPIA – che, bene ricordarlo è adempimento particolarmente complesso – potendo il titolare opportunamente ricorrere ad un LIA per giustificare, dettagliare e sottoporre a balancing le “particolari condizioni” che richiedono una retention lievemente superiore.

Considerato che LIA e, soprattutto, DPIA sono adempimenti piuttosto gravosi, anche in considerazione del fatto che sono documenti che vanno periodicamente riesaminati, sarebbe stato auspicabile che il Provvedimento – che aveva lo scopo di sgombrare il campo dai dubbi – avesse meglio definito, in relazione alle diverse casistiche di retention da esso delineate, le tipologie di assessment più idonee, fornendo così ai titolare strumenti certi per rispettare il principio di accountability.

5 – I fornitori dei servizi di posta elettronica

Oggigiorno i sistemi di posta elettronica sono, nella grande maggioranza dei casi, forniti da terze parti (spesso anche in modalità Cloud as a Service). Per tale ragione, nel Provvedimento in esame il Garante ricorda ai provider che essi “devono contribuire a far sì che i titolari del trattamento possano adempiere ai loro obblighi di protezione dei dati”. È dunque loro compito – con le conseguenti responsabilità ai sensi del GDPR – impostare i propri servizi secondo i principi di Privacy by Design/Default e consentire ai clienti (datori di lavoro/titolari del trattamento) la configurazionedelle impostazioni (e in specie, quelle di data retention) nel rispetto dei criteri qui richiamati.

È, quindi, importante che i titolari del trattamento siano consapevoli del fatto che il supporto da parte dei fornitori di sistemi di posta elettronica al corretto settaggio di quanto sopra è un atto dovuto e non un servizio extra (magari a pagamento). Ciò detto, non si può ignorare che – in un mondo in cui i provider di servizi digitali sono spesso multinazionali che assumono le fattezze di giganti al cospetto delle migliaia di PMI e amministrazioni di cui si compone il tessuto economico di un Paese come il nostro – non è detto che in caso di mancata collaborazione il cliente italiano riesca ad ottenere rapido soddisfacimento alle proprie richieste di customizzazione. Per questo, si spera che tutti i provider abbiano già approntato pannelli di controllo che consentano un settaggio in autonomia ai loro clienti (d’altronde, così facendo, il provider avrebbe solo da guadagnare: scaricherebbe totalmente sui clienti la responsabilità circa l’impostazione dei termini di data retention e si risparmierebbe la gestione di migliaia di richieste di personalizzazione).

6 – Sintesi degli adempimenti alla luce del Provvedimento

Il Garante ricorda che il titolare del trattamento, ossia il datore di lavoro, dovrà rendere edotti i lavoratori circa le scelte operate con riguardo alla conservazione dei metadati/log delle email.

Pertanto, dopo avere verificato l’applicabilità delle indicazioni ed impostato i tempi di conservazione dei metadati, il personale dovrà essere opportunamente informato.

Il Provvedimento, giustamente, non specifica le modalità con cui rendere queste informazioni. Di fatto, ogni titolare potrà utilizzare la forma maggiormente consona rispetto al proprio contesto operativo e/o rispetto al proprio modo di declinare il principio di trasparenza GDPR verso i lavoratori; ciò purché la comunicazione sia chiara, comprensibile, completa e disponibile alla consultazione nel tempo. Ad esempio, si potrà procedere tramite aggiornamento del regolamento per l’utilizzo dei sistemi/strumenti ICT (laddove presente) o del manuale operativo in materia di trattamento dei dati personali (laddove presente), oppure ancora tramite breve comunicazione aziendale che contenga una nota informativa ad hoc (quale integrativa dell’informativa generale), ovvero aggiornando l’informativa generale resa al personale ex art. 13 del GDPR. Ad avviso di chi scrive, quest’ultima modalità – benché idonea allo scopo – rischia di non essere un’opzione ottimale: se si specificano nell’informativa generale i termini di data retention dei metadati di posta elettronica, bisognerebbe allora – per coerenza informazionale – specificare nel medesimo documento i tempi di conservazione di tutti gli altri dati trattati in relazione al personale (una lista che potrebbe farsi assai lunga: dai log di accesso ai sistemi informatici alle immagini di videosorveglianza, dalle badgeature al LUL, dagli interventi formativi alle note spese, e via andando). L’informativa al personale finirebbe per contenere una sorta di Data Retention Policy analitica rischiando così di perdere il carattere di essenzialità dell’informazione.

Chi scrive ritiene che, laddove adottato, la sede naturale ove fornire al lavoratore questo tipo di informazione possa essere il regolamento sull’utilizzo degli strumenti ICT, perché è un documento che, oltre a prescrivere al dipendente le condotte da tenersi rispetto a tali dotazioni, può ben indicare che cosa ne è dei dati che egli rilascia quale user delle stesse; ad esempio, un regolamento ICT può indicare se/come/quanto sono conservati i dati della navigazione Internet e/o quali siano le politiche di cancellazione delle memorie in caso di restituzione di uno smartphone aziendale e/o dopo quanto è eliminato l’account e-mail del dipendente cessato e, quindi, anche quale sia il termine di conservazione dei metadati qui in discussione. Di fatto, il titolare che abbia adottato un regolamento sull’utilizzo degli strumenti ICT ed abbia correttamente implementato le indicazioni rese dal Garante nel Provvedimento, potrebbe aggiornare i paragrafi del regolamento dedicati all’uso della posta elettronica aziendale illustrando in poche righe cosa si debba intendere per metadati alla luce delle indicazioni del Garante, perché sono raccolti e dopo quanto tempo sono automaticamente eliminati.

Per quanto attiene la liceità del trattamento, è da ritenere che la conservazione dei metadati (come definiti dal Garante) di posta elettronica trovi la sua base giuridica nel legittimo interesse (art. 6, co.1 lett. f del GDPR) del titolare ad assicurare il funzionamento e la sicurezza della posta elettronica.

Suddetta liceità, relativa ad un trattamento che potrebbe comportare il controllo indiretto di una parte debole, soggiace a delle condizioni e degli adempimenti che si dovranno osservare a seconda della retention impostata. Rispetto ai 3 casi (almeno secondo l’opinione di chi scrive) delineati dal Garante in ragione delle diverse tempistiche di conservazione, possiamo riassumere che:

  1. se il Titolare vuole/riesce a limitare la conservazione ad un massimo di 21 giorni, l’unico adempimento sarà quello di dare adeguata informazione ai dipendenti (si potrà, al più, eseguire un LIA quale atto di accountability);
  2. se la conservazione sarà di 21 giorni + un breve periodo (le prudenziali 48 ore in più), oltre all’adeguata informazione ai dipendenti bisognerà effettuare attività di accountability quali un LIA e/o un DPIA;
  3. se la conservazione sarà ancor più estesa (stimiamo, sempre prudenzialmente, dai 23 giorni in su), oltre ai già citati obblighi informativi e di accountability previsti dal GDPR (in particolare, il DPIA), il datore di lavoro/titolare del trattamento dovrà preoccuparsi di esperire le procedure di garanzia previste dal comma 1 dell’art. 4 dello Statuto dei Lavoratori (accordo sindacale o autorizzazione dell’Ispettorato).

Infine, va evidenziato un aspetto su cui il Provvedimento ha omesso di far cenno e che forse, per completezza di informazione, avrebbe meritato quantomeno un rapido richiamo. L’osservanza dei termini e delle condizioni di cui abbiamo finora discusso, non preclude ai titolari del trattamento la possibilità di conservare i metadati di posta elettronica oltre il termine prescelto laddove ciò sia indispensabile per esercitare o difendere un diritto cui è riconosciuta tutela giuridica: ad esempio, ciò può rendersi necessario laddove nei log dei flussi email di un dipendente si ritenga vi siano prove utili a contestargli un reato o una violazione contrattuale che possa ledere i diritti dell’azienda o di un collega o di una terza parte. La base giuridica del trattamento – consistente in una conservazione ultronea rispetto alla retention di 21 giorni o del diverso termine prescelto – risiede ancora un volta nel legittimo interesse (art. 6, co.1 lett. f del GDPR) che in questo caso si sostanzia nell’esigenza di accertare, esercitare o difendere un diritto del titolare o di un terzo. Va da sé – sia per buon senso sia per rispetto dei principio di minimizzazione del trattamento del GDPR (art. 5, par.1, lett. c) – che tale conservazione ulteriore non possa riguardare in modo generalizzato i metadati di tutte le utenze aziendali, ma debba essere mirata ai soli log dell’account interessato e, tra questi, solo quelli che possono fornire un contributo probatorio; di fatto, il titolare dovrà esportare i metadati di interesse dal sistema di posta elettronica e conservarli separatamente (e in massima sicurezza) per l’ulteriore utilizzo. Il resto dei metadati dovrà essere oggetto di automatica eliminazione secondo la scadenza preimpostata.

Ovviamente, tutto ciò sarà possibile solo nel caso in cui il titolare si accorga di avere l’esigenza di tutelare un diritto prima che tutti i metadati siano cancellati per scadenza predefinita; e non sempre ciò può accadere. Nel prossimo paragrafo ci occuperemo anche delle problematicità relative a questa evenienza.

7 – Il possibile impatto sulla sicurezza informatica, processuale e investigativo del Provvedimento: alcune considerazioni tecniche e informatico forensi

Occorre chiedersi se l’intervento del Garante in tema di metadati possa avere delle ricadute in tema di sicurezza informatica e di valenza probatoria delle email nei procedimenti civili e penali. Ed effettivamente, secondo chi scrive, con questo Provvedimento si limita in maniera sostanziale la potenzialità investigativa, di analisi forense e ricostruzione postuma dell’incidenti informatici da parte delle aziende.

Procediamo con ordine.

Vero è che – come precisato più volte dai componenti del Garante e chiaramente indicato nel documento – il materiale di cui viene raccomandata la cancellazione non sono i messaggi di posta elettronica né il loro “envelope”, ma esclusivamente le “informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi”, cioè in sostanza i log SMTP d’invio e ricezione delle mail.

Questo chiarimento certamente evidenzia come rimangono a disposizione per le perizie informatiche e le analisi di sicurezza le evidenze digitali relative ai log di accesso alle mailbox (tramite client, webmail, IMAP, POP3, Oauth, Exchange, etc…), oltre al contenuto delle email stesse, tra l’altro spesso cristallizzate anche tramite servizi di Vault. Non vengono citati nel Provvedimento neanche eventuali dati di log relativi alla cancellazione di email, spostamenti di folder/label, lettura di messaggi, forward automatici, caricamento/append via IMAP, etc… che esulano dalle tracce d’invio e ricezione sulle quali invece il Garante ha concentrato la sua attenzione. Dal punto di vista investigativo, rimangono quindi sicuramente degli elementi di rilievo su cui fondare analisi forensi in ambito di data breach, attacchi informatici, Man in The Mail (MiTM), Business Email Compromise (BEC), ransomware o dipendenti infedeli.

Tuttavia, dato che è noto come i file di log siano in generale una delle fonti più utilizzate per poter ricostruire eventi come attacchi informatici, accessi abusivi, impersonificazione di utenti e diversi altri tipi di eventi nefasti che possono accadere in ambito aziendale, è chiaro che una limitazione sulla disponibilità di tracciature delle attività d’invio e ricezione dei messaggi sarà comunque impattante per le attività di perizia informatica.

Per poter comprendere meglio i termini della questione, è necessario chiarire un aspetto preliminare: a cosa servono i log/metadati d’invio e ricezione dei messaggi di posta elettronica durante le attività di eDiscovery in ambito aziendale o di attività di Polizia Giudiziaria?

In sintesi, tali metadati possono includere data, ora, mittente, destinatario, dimensione, presenza di allegati, indirizzi IP del mittente o dell’instradamento, il Message ID (questo pare il Garante l’abbia scordato nel Provvedimento, ma dovrebbe essere compreso) e potenzialmente l’oggetto dei messaggi.

Gli indirizzi IP sono certamente, dal punto di vista della informatica forense, gli elementi che maggiormente possono aiutare a individuare eventuali compromissioni, poiché permettono di circostanziare i dettagli del mittente dei messaggi. Si pensi ad esempio a una casella aziendale compromessa i cui messaggi di posta originano da indirizzi IP esteri, riconducibili a VPN o Tor, oppure a messaggi disconosciuti da un utente, ma inviati dal suo indirizzo IP di casa o aziendale.

Dal punto di vista giudiziario, una perizia forense eseguita anche dall’Autorità Giudiziaria che, tramite l’analisi dei log SMTP, riconduca un mittente a un luogo/utenza specifica potrebbe risultare utile per scagionare un dipendente o anche per dimostrarne la colpevolezza, mentre senza dati relativi all’invio o alla ricezione, questa investigazione digitale non sarebbe possibile.

Va ricordato, infatti, che questi eventi possono anche essere potenzialmente imputabili ai dipendenti tranne nei casi nei quali, grazie ai log, è possibile dimostrare la loro estraneità, oltre a situazioni nelle quali i dipendenti sono vittime degli attacchi stessi e la presenza di uno storico sufficientemente ampio all’interno di un logo permetterebbe di ricostruirne interamente la dinamica.

In sostanza, il dipendente stesso potrebbe beneficiare della presenza di log senza i quali la responsabilità di eventuali azioni operate tramite la loro mailbox sarebbe riconducibile esclusivamente a loro. Immaginiamo un caso di Man in The Mail o Business Email Compromise, nel quale la casella di posta di un dipendente venga bucata ad esempio tramite phishing, malware o altro.

I log d’invio permetterebbero di scagionare il dipendente – quantomeno dall’invio dei messaggi fraudolenti – mentre senza log non si avrebbe modo di poter ricondurre a terzi le attività criminose. Vero è che per almeno 21 giorni tali metadati sarebbero a disposizione dell’A.G. o del team d’incident response o digital forensics aziendale, ma molto spesso, come noto, gli attacchi informatici vengono rilevati settimane, se non mesi dopo.

Nella maggioranza dei casi, infatti, avviene un fenomeno che si posiziona in pieno contrasto con questa limitazione della retention, cioè il fatto che gli incidenti informatici vengono scoperti dopo un periodo di tempo molto lungo, che fa sì che quando ci si appresta a eseguire attività d’indagine forense sulle prove digitali ormai tali prove siano scomparse, proprio a seguito della limitata retention dei dati.

Pertanto, la possibile (per non dire probabile) scoperta tardiva di questo tipo di attacchi ma si concilia con quello che è la cancellazione dello storico delle attività di invio e ricezione delle e-mail da parte dei dipendenti (vale a dire i metadati/log oggetto del Provvedimento), considerato appunto che come precisato sopra, all’interno dei log sono presenti informazioni di altissima utilità investigativa, in primis gli indirizzi IP dei relay o del client che ha inviato il messaggio di posta elettronica.

Si pensi poi, ad esempio, all’utilità del match tra MessageID presente nell’envelope dei messaggi di posta elettronica e quello tracciato nei log, che permette di ottenere un riscontro d’integrità e coerenza tra messaggi. Questo, consente di dimostrare se un messaggio è stato effettivamente inviato o ricevuto, anche se tale messaggio non è più disponibile.

Ogni anno esistono innumerevoli cause civili e penali nei Tribunali o presso la Procura della Repubblica dove l’oggetto del contendere sono i messaggi di posta elettronica, la loro esistenza, l’effettivo invio o ricezione, l’eventuale manipolazione o alterazione con produzione di falso. Proprio per riconoscere se un messaggio è stato alterato, falsificato o manipolato risultano particolarmente utili i log dell’invio e della ricezione delle email, per quanto fortunatamente si possano utilizzare anche altri tipi di log – che il Garante non ha limitato nel Provvedimento – o persino i messaggi stessi tramite le firme DKIM e le proprietà DMARC ed SPF presenti all’interno dell’envelope.

In sostanza, i metadati di cui si discute e che il Garante ha “suggerito” di conservare un per un tempo limitato possono servire durante le investigazioni digitali per provare che un utente non ha inviato una mail, o che in realtà l’ha inviata, così come per dimostrare la ricezione di un messaggio o, ancora più complesso, dimostrare che uno specifico messaggio non è stato ricevuto.

Questa è una delle richieste più frequenti in ambito di perizia informatica forense, cioè provare che un utente non ha ricevuto un’email che invece controparte asserisce di avere inviato, tipicamente all’interno di cause civili, ricorsi, citazioni in Giudizio ma anche in ambito di processi penali.

La prova negativa è possibile soltanto con i file di log, specificatamente quelli d’invio e ricezione: senza di essi la perizia forense rischierebbe di chiudersi con un esito d’indeterminabilità dovuto alla mancanza di prove digitali.

Se cancellando mesi di logfile si perde un enorme potenziale investigativo, non va dimenticato che viene persa anche l’efficacia di valore scientifico-probatorio delle evidenze che ancora rimangono. La problematica è duplice: da un lato, il log con i metadati relativi agli invii e alle ricezioni di messaggi di posta può corroborare la validità dei messaggi effettivamente presenti – o peggio cancellati – garantendone una validità informatica forense ulteriore.

Dall’altro, la conservazione di alcuni metadati potrebbe essere cruciale, come ad esempio il contrassegno di “verifica DKIM valida” da parte del tenant che potrebbe trovarsi nei log che il Garante raccomanda di cancellare.

Questo prezioso campo, che indica il risultato della verifica DKIM eseguita dal server, non è sempre presente nei log, ma ove presente è utile a garantire l’originalità di un messaggio di posta senza avere a disposizione l’envelope o il messaggio stesso in formato RFC822, EML o MSG. Vero che tale verifica può essere fatta anche sulla email stessa, ma soltanto se ancora presente e disponibile integralmente: nell’ipotesi di un messaggio di posta cancellato, se non recuperabile (es. da backup o vault/eDiscovery),l’unica verifica forense sull’integrità sarebbe nel log dei metadati.

Senza di esso può divenire ostico se non impossibile, riuscire a capire se una mail è “originale o alterata”, con tutte le conseguenze del caso per contenziosi aperti successivamente al periodo massimo di conservazione.

Se vogliamo poi esaminare anche il problema della complessità di gestione di una tale misura, dobbiamo considerare anche la difficoltà nell’individuazione dei metadati in oggetto: la maggioranza dei servizi di gestione delle utenze digitali – in cui rientrano anche le caselle di casella di posta elettronica, definiti in gergo anche “tenant” – sono per loro natura ricchi di funzionalità poiché i fornitori – come ad esempio Microsoft che distribuisce il prodotto “MS365” – tendono a voler rispondere ad ogni possibile necessità dell’utente.

I tenant sono così diventati strutture molto complesse e in tale complessità rientrano anche i log di conservazione dei metadati della posta elettronica, dei quali quelli d’invio e ricezione sono un sottoinsieme non sempre banalmente identificabile e configurabile.

Non è difficile perdersi nelle varie aree di configurazione della retention e ciò vale anche per gli utenti più esperti; basti pensare che perfino a livello grafico, le interfacce di gestione, cambiano con elevata frequenza portando spesso anche cambiamenti nelle specifiche configurazioni, definendo ambienti tutt’altro che intuitivi che spesso ogni qualche mese migrano di posizione e modificano in funzionalità.

Dunque, il rischio concreto è che gli amministratori di dominio, responsabili nel concreto della gestione delle utenze, tra cui anche l’applicazione delle conformità nell’ambito delle regolamentazioni privacy, non siano in grado di individuare facilmente tutte le aree dedite alla conservazione dei metadati, incorrendo così (troppo) facilmente o rischiando – per quanto poi la decisione sia condizionata al principio di accountability – in sanzioni.

Sempre dal punto di vista tecnico, emerge poi l’ulteriore problema della definizione dei “casi particolari”: il testo del Provvedimento, come sopra detto, indica che il periodo di conservazione dei metadati può essere esteso “solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente, in applicazione del principio di accountability previsto dall’art. 5, par. 2, del Regolamento, le specificità della realtà tecnica e organizzativa del titolare.”.

E’ possibile così che diventi complesso per il Garante individuare e valutare la legittimità di tali estensioni: il rischio più concreto, vista la complessità della materia in termini di possibili scenari che coinvolgono le caselle di posta, è valutare positivamente estensioni meno valide di altre. In tale ottica è certamente impattante la modalità attraverso la quale tale giustificazione viene presentata. Basti pensare che qualunque richiesta potrebbe essere giustificata dal fatto che i metadati possano rappresentare l’unico modo per individuare i data breach: l’attaccante che compromette – e utilizza le caselle di posta per fini illeciti – elimina tipicamente le e-mail e le uniche tracce restano spesso soltanto i log di trasporto, preziosi per la dimostrazione dell’utilizzo illecito della mailbox e l’azienda si rende conto dell’attacco soltanto mesi dopo. I log o metadati di trasporto, in questo caso, sono preziosi per la corretta individuazione della superficie di attacco e relative aree aziendali coinvolte, per quanto – come accennato sopra – tipicamente siano rinvenibili ulteriori log che il Garante non pare aver limitato nel Provvedimento.

Infine, per quanto non riguardi tanto la digital forensics quanto invece la sicurezza informatica, si deve fare presente che l’analisi comportamentale sui messaggi di posta elettronica, senza poter avere uno storico dei metadati d’invio e ricezione, perde di efficacia.

Un periodo di tempo limitato a 21 giorni inficia sulla qualità dei risultati delle analisi comportamentali svolte degli strumenti di prevenzione di attacchi e tool di intelligence, oltre che dagli antispam, anti phishing e anti malware. Gli indicatori di compromissione (IoC) sono costretti a correlare una quantità inferiore di dati, sfavorendo il vantaggio dell’essersi muniti di tecnologie di difesa. Diviene così per tali strumenti più difficile identificare comportamenti anomali o pattern di attività sospette e alcuni attacchi non riusciranno ed essere previsti e bloccati per tempo, con conseguente, possibile, fuoriuscita di dati sensibili, che è poi ciò cui mira la quasi totalità delle minacce odierne.

8 – Conclusioni

Emanando un documento di indirizzo incentrato sul termine di conservazione dei metadati delle email dei dipendenti, il Garante ha sostanzialmente invitato i datori di lavoro a verificare le impostazioni dei sistemi di posta elettronica in uso presso le loro organizzazioni, chiamandoli a valutare e bilanciare gli interessi in gioco e ad assumere, in merito, decisioni che garantiscano il rispetto della normativa in materia di protezione dei dati personali e dello Statuto dei Lavoratori.

Atteso che tra i compiti del Garante c’è quello di orientare – anche tramite contributi divulgativi o atti di indirizzo – i titolari verso la corretta applicazione della normativa di sua competenza, il Provvedimento è sicuramente meritorio perché:

  • ricorda a tutti che una conservazione generalizzata, imponderata e molto prolungata dei metadati/log in questione può costituire una violazione dei diritti degli interessati/dipendenti, esponendo i titolari del trattamento al rischio di (pesanti) sanzioni; e, al contempo,
  • richiama – coerentemente – i provider dei sistemi di posta elettronica ai loro doveri in tema di protezione dei dati fin dalla progettazione e protezione per impostazione predefinita (così che sia il cliente/titolare a dover effettuare un scelta ponderata, assumendosene le responsabilità; e così che, in assenza di scelta, il trattamento sarà comunque minimizzato di default).

Inoltre, nella sua più equilibrata e comprensibile seconda stesura, il documento di indirizzo ha distinto in modo decisivo alcuni concetti importanti (la differenza tra metadati generati dagli MTA/MUA e altre informazioni tecniche relative ad envelope, body-part, etc.) e, non ultimo, ha triplicato (portandola, per sollievo dei più, da 7 a 21 giorni) l’entità del termine di retention indicativo che consente al datore una conservazione dei metadati senza particolari assilli procedurali, sia lato GDPR (in particolare, il DPIA) sia lato Statuto dei Lavoratori (accordo sindacale o autorizzazione amministrativa).

Ad avviso di chi scrive – specie considerando che il documento si propone di “agevolare la comprensione” di una serie di aspetti, di “promuovere la consapevolezza delle scelte tecniche e organizzative” ed “intende offrire una ricostruzione sistematica delle disposizioni applicabili (…)”, nell’argomentare la propria posizione, il Garante è stato meno illuminante in alcuni passaggi, specie laddove non ha ritenuto utile delineare meglio lo scenario dello sconfinamento temporale più limitato (ossia, non quello “più esteso” e “generalizzato”) favorendone un’agevole quantificazione e suggerendo quale strumento di assessment (LIA o DPIA) sia condizione minima sufficiente a soddisfare i requisiti di accountability del GDPR.

Oltre a ciò, il Provvedimento non ha in alcun modo affrontato il tema delle ricadute che una conservazione “orientata” a 21 giorni può avere rispetto ai temi di sicurezza informatica (specie in termini di incident management) nonché con riguardo alla valenza probatoria dei metadati dei messaggi di posta elettronica. Con tutta probabilità, e questo sarebbe comprensibile, il Garante non ha voluto esplorare tali impatti perché esulanti dal suo ambito di competenza. Ma resta il fatto che sono aspetti con cui i titolari del trattamento devono fare necessariamente i conti, in particolar modo dal momento in cui l’interprete autentico in materia di protezione dei dati ha indicato un termine idoneo di data retention.

Di fatto, ciascuna organizzazione dovrà fare una scelta tra:

  • una conservazione dei metadati limitata nel tempo come indicato dal Garante nel Provvedimento (fino a 21 giorni), che comporterà una riduzione degli adempimenti “burocratici” e dei rischi legati al trattamento dei dati personali ma che, al contrario, potrebbe avere degli effetti negativi dal punto di vista della sicurezza e della valenza probatoria delle email;
  • una conservazione per un periodo superiore al termine orientativo di 21 giorni indicati dal Garante, che avrebbe dei risvolti positivi in termini di sicurezza informatica e utilizzabilità in giudizio delle email ma che, come contrappasso, obbligherebbe il titolare del trattamento porre in essere adempimenti piuttosto gravosi, sostenendone i relativi oneri.

Si tratterà di una scelta non sempre semplice, anche considerato che gran parte delle imprese e pubbliche amministrazioni italiane, dati gli aspetti tecnici e legali in gioco, spesso non hanno le competenze e le risorse per decidere in modo autonomo e pienamente consapevole.