Con Provvedimento del 6 giugno 2024, denominato "Documento di indirizzo - Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati" (di seguito Documento o Documento di indirizzo), il Garante per la protezione dei dati personali è entrato in un contesto, quello appunto della conservazione dei metadati della posta elettronica, molto tecnico e sicuramente molto delicato per tutte le Organizzazioni.
Ricordiamo che il Documento di indirizzo non introduce prescrizioni specifiche o nuovi adempimenti; tuttavia, obbliga i Titolari del trattamento a rivedere la propria gestione della posta elettronica, ponendo attenzione non solo alla riservatezza, integrità e disponibilità dei dati e delle informazioni, ma a porsi seriamente la domanda: quanto tempo posso conservare i dati?
Questa domanda è sicuramente una delle più complesse. Lavorando nell'ambito della PA da molti anni nelle tematiche della cybersecurity e della data protection, la questione sulle tempistiche relative alla conservazione dei dati e delle informazioni è spesso o liquidata con la famosa frase: "secondo tempistiche di legge" o addirittura omessa. Ma se si chiede poi quali sono queste tempistiche, nessuno sa rispondere.
Prima di entrare nel merito del Documento di indirizzo capiamo cosa sono i metadati e perché è stato necessario addirittura un provvedimento del Garante per definire la questione.
Un messaggio di posta elettronica è composto da due parti fondamentali:
Il contenuto (body): cioè quello che scrivi — il testo, le immagini, eventuali allegati come documenti o foto.
La “busta” (envelope): è invisibile agli occhi dell’utente, ma contiene le informazioni necessarie per far viaggiare il messaggio nella rete — ad esempio chi lo ha inviato, a chi è destinato, e i dettagli del percorso che deve seguire.
E i metadati? I metadati sono informazioni aggiuntive che descrivono l’e-mail e il suo viaggio. Non sono parte del messaggio vero e proprio, ma lo accompagnano e raccontano “la storia” dell’e-mail. Eccone alcuni esempi:
Chi l’ha inviata e a chi è diretta
Quando è stata inviata e ricevuta
Qual è l’oggetto dell’e-mail
Che tipo di dispositivi e programmi sono stati usati per scriverla
Qual è l’indirizzo IP del mittente
Quanto è grande il messaggio e quali formati contiene
Quanti server ha attraversato prima di arrivare
Quali protocolli di sicurezza sono stati utilizzati
Se ci sono stati tentativi di consegna falliti
Con quale sistema operativo è stata scritta l’e-mail
In pratica, i metadati sono una sorta di scatola nera: registrano tutto ciò che serve per ricostruire il percorso di un’e-mail, capire da dove arriva, quanto è affidabile, e come è stata trattata lungo il tragitto.
Come evidenziato dal Garante, questi dati, “pur non comprendendo il contenuto del messaggio, possono rivelare molto sulle comunicazioni e le abitudini degli utenti” e rappresentano a tutti gli effetti dati personali.
I metadati sono necessari sia dal punto di vista tecnico (rappresentano il “sistema di etichettatura” delle e-mail, la loro eliminazione renderebbe più difficili la ricerca, l’organizzazione e il collegamento tra loro, nonché analizzare problematiche di mancato ricevimento) che della sicurezza informatica (identificare e-mail sospette o truffaldine, effettuare digital forensics e le indagini giudiziarie).
Il Garante segnala tre punti critici della gestione e conservazione dei metadati che i Titolare del trattamento devo considerare:
Perché raccogliere i metadati? Devono essere raccolti solo quando davvero servono, ad esempio per motivi di sicurezza informatica. Non si devono raccogliere “tanto per raccogliere”.
Per quanto tempo si possono tenere? I metadati non vanno conservati per sempre. In generale, non più di 7 giorni (con un massimo di 21 giorni), a meno che ci siano buoni motivi. Se servono per più tempo, bisogna scrivere nero su bianco perché e per quanto.
Attenzione alla privacy dei lavoratori. Usare i metadati per controllare chi fa cosa può diventare una forma di sorveglianza eccessiva. Le aziende devono essere trasparenti e raccogliere solo le informazioni davvero utili, rispettando le regole del GDPR.
Cosa è necessario fare? Come dice il Documento, non sono chiesti nuovi o ulteriori adempimenti, ma è necessario che il Titolare svolga le attività che sono già di sua competenza. In particolare:
Analizzare le modalità di gestione dei metadati e definire le tempistiche di conservazione. Il Titolare è chiamato ad analizzare tale trattamento, identificare le basi giuridiche e le finalità con il quale lo svolge, le tempistiche di conservazione e soprattutto definire quali informazioni siano effettivamente necessarie per le finalità definite e quali eliminare. Al termine di questa attività è necessario aggiornare il Registro dei trattamenti.
Verificare che tali dati non siano utilizzati per un monitoraggio dei lavoratori e se necessario, provvedere quanto previsto dall'art. 4 dello Statuto dei Lavoratori
e cosa è stato fatto? Le Pubbliche Amministrazioni hanno recepito il Documento?
Non sono disponibili dati e neanche risultano Provvedimenti adottati dal Garante su questo argomento riguardo le PA, mentre sono presenti Provvedimenti nei confronti di Privati in cui vengono evidenziate (tra le altre) anche questa tematica.
