Metadati nelle email, il Garante è conforme?
Mar 15 2024 Riccardo AbetiA proposito del Documento d'indirizzo "Provvedimento del 21 dicembre 2023 - Documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, apro questo breve articolo con una domanda:
Il Garante cancella i metadati delle email dopo 7, massimo 9 giorni?
Il fulcro del “Documento d'indirizzo” è tutto qui.
Non è la prima volta che il Garante per parlare o per imporre qualcosa ai “provider” (in questo caso di servizi di posta elettronica), bastona, sia pure in senso metaforico, il piccolo titolare che si trova davanti.
Qui non si tratta di un Provvedimento nei confronti di un titolare specifico come invece era stato nel caso di Google Analytics (mi riferisco al Provvedimento del 9 giugno 2022 [9782890]) ma poco cambia nel risultato, perché lo schema è il medesimo, per dire a Google che la sua soluzione non andava bene, ha gettato nel panico centinaia di migliaia di titolari del trattamento.
Vi faccio un esempio focalizzato su un'altra norma del Regolamento UE 2016/679 (“RGPD”), l'art. 28, molti Provvedimenti hanno evidenziato che il Responsabile del trattamento di fatto, che non ottiene la sottoscrizione dell’atto di cui all’articolo 28 del RGPD da parte del Titolare, tratta i dati in assenza di una base di legittimità.
Ma è risaputo che i molti cloud provider e soggetti più o meno grandi che forniscono diversi tipi di servizi non rispondono neanche alle email con cui i medio/piccoli titolari del trattamento cercano di condurre un rapporto in compliance.
Avete mai provato a scrivere a Mailchimp per concordare (e in quanto Titolari ne avete diritto e obbligo) le “istruzioni” del trattamento? Ma non scantoniamo dal punto principale, i metadati delle email.
Il Provvedimento è inspiegabile nella portata e l'apparente “proroga dell’applicabilità” in virtù della pubblica consultazione è una toppa che non ridimensiona il problema.
Sì, perché nel “Documento d'indirizzo” non si dice “d’ora in poi - e il titolare del trattamento ha 180 giorni per adeguarsi (ce ne vorrebbero molti di più e forse non basterebbero) - la conservazione dei metadati deve essere regolamentata”. In quel caso la "proroga" avrebbe un suo perchè.
No! Il “Documento d’indirizzo” (bello questo nome, sembra una cosa soft) si esprime con queste parole: “In considerazione del richiamato quadro giuridico, l’impiego dei predetti programmi e servizi di gestione della posta elettronica, in assenza dell’espletamento delle procedure di garanzia di cui all’art. 4, comma 1, della l. n. 300/1970, prima di dare avvio alla preventiva e sistematica raccolta dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti, e alla conservazione degli stessi per un ampio arco temporale (superiore a sette giorni estensibili di ulteriori 48 ore , alle condizioni indicate al par. 3), si pone in contrasto con la normativa in materia di protezione dei dati personali e con la richiamata disciplina di settore, in violazione degli artt. 5, par. 1, lett. a), 6 e 88, par. 1, del Regolamento, nonché 114 del Codice (in relazione all’art. 4, comma 1, della l. n. 300/1970)”. [§ 4.1 delle Linee di indirizzo]
Cosa vuol dire questo?
Che il trattamento dei dati è illegittimo se prolungato oltre i 9 giorni o effettuato in carenza delle “procedure di garanzia” di cui all’art. 4, comma 1, della L. 300/1970. Ma non è illegittimo da oggi o da dicembre u.s. ma da quando esistono le norme che il Garante ritiene che si violino con una conservazione più prolungata dei 7 massimo 9 giorni.
Provo a porvi un’altra domanda
La modifica del “Documento d'indirizzo” potrà mai contraddire quanto espresso nel paragrafo 4.1 delle Documento d’indirizzo?
In altre parole, se il trattamento dei metadati per più di 9 giorni viola “gli artt. 5, par. 1, lett. a), 6 e 88, par. 1, del Regolamento, nonché 114 del Codice”, il Garante potrà scrivere qualcosa di diverso da un’eventuale estensione del termine di 9 giorni? Potrà rimangiarsi quanto espresso in precedenza?
Ne risulterà che anche se individuasse il termine in 180 giorni oppure in 1200 giorni, tutti coloro che hanno un sistema di posta elettronica (incluso il Garante) e che hanno una o più email, corredata di metadati, da un tempo superiore, staranno trattando i dati in violazione degli articoli indicati.
Due soluzioni si prospettano in grado di moderare la portata del “Documento d’indirizzo” ma ritengo che sia improbabile che il Garante ne adotti una delle due (anche se lo auspico).
Prima soluzione. La prima, è che il Garante, nella versione 2.0, del “Documento d’indirizzo”, sposti il focus sulla conservazione delle email (e non dei metadati) e indichi un tempo massimo di conservazione alla luce della legislazione vigente ovvero tenendo conto: dei termini minimi di conservazione imposti da alcune norme, della durata della prescrizione di certi profili di responsabilità, dell'interesse alla conservazione per accertare, esercitare o difendere un diritto in sede giudiziaria, della conservazione per ragioni di sicurezza informatica e di tutela del patrimonio aziendale. Questo sarebbe un grandissimo "servizio" ai titolari che da tempo si pongono l'annoso dubbio circa quanto conservare le email e i dati in esse contenuti (taluni hanno l'ansia di cancellarle per ragioni di spazio, altri di conservarle in eterno).
Seconda soluzione. Oppure, la seconda soluzione è che il Garante ribadisca, sic et simpliciter, che i dati raccolti attraverso i metadati delle email, non possono essere utilizzati per tracciare l’attività del lavoratore e concentrando le linee d'indirizzo sui "profili di illiceità che possono poi derivare dall’utilizzo ulteriore dei dati personali", eliminando qualsiasi riferimento alla suggestione di termini di cancellazione (forse sarebbe un'ovvietà ma comunque ribadirebbe un limite che, forse, non è chiaro a tutti).
Rimaniamo in attesa di come evolverà questo provvedimento nella sua versione futura.
Nel frattempo però qualcosa per migliorare la compliance della gestione delle email in azienda la possiamo fare sicuramente.
