ll 6 giugno 2024 il Garante ha pubblicato la versione aggiornata del Documento di Indirizzo dal titolo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”.
La vicenda trae origine da un Provvedimento firmato dal Garante il 21 dicembre 2023 e pubblicato il 7 febbraio 2024 avente ad oggetto “I metadati nei sistemi di posta elettronica” la cui pubblicazione ha generato molteplici posizioni di forte perplessità, a partire dall’introduzione di uno “specifico rischio” relativo alla possibile raccolta in modo pervasivo e generalizzato
di metadati conseguenti al semplice utilizzo degli account di posta elettronica in uso ai dipendenti.
Il vespaio di polemiche suscitato dal Provvedimento ha convinto l’Autorità alla immediata sospensione dell’efficacia del provvedimento e ad aprire una consultazione pubblica finalizzata alla raccolta di contributi in maniera strutturata.
Il Provvedimento del 6 giugno 2024 è, dunque, la sintesi di una attenta quanto accurata rielaborazione del testo originario, che ha tenuto conto delle numerose osservazioni pervenute all’attenzione del Collegio.
Vediamo di seguito le risultanze principali:
La posta del dipendente non si tocca!
Il Documento di Indirizzo chiarisce in maniera incontrovertibile che la posta elettronica è e rimane nell’esclusivo controllo dell’utente, considerandosi tale sia l’emittente che il ricevente.
Il Documento, infatti, precisa che la finalità del Garante non è quella di regolare la conservazione della posta elettronica ma “soltanto” quella dei metadati contenuti nei log dei server preposti a tutte le operazioni necessarie alla trasmissione di un messaggio.
Per comprendere compiutamente la natura metadati, immaginiamo di inviare una lettera cartacea per posta. Il documento contenuto nella busta compone l’insieme dei dati “primari” ed è protetto dalla legge contro l’accesso di terzi secondo il dettato Costituzionale “La libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili” (Articolo 15 della Costituzione).
La busta che contiene la lettera costituisce la somma dei “metadati” della lettera quali, ad esempio, l’indirizzo del mittente, quello del destinatario, il francobollo ed il timbro postale… ovvero tutti quei dati che rendono possibile l’invio stesso della lettera.
Dunque qual è, se esiste, il reale pericolo rappresentato dai metadati?
La risposta ha carattere “quantitativo”; infatti, se la lettura di una singola busta di corrispondenza non genera alcuna particolare conoscenza delle persone coinvolte nella corrispondenza, nel caso di conoscenza massiva di dati la loro conseguente valutazione farebbe potenzialmente emergere dati che potrebbero rivelare molto sul comportamento di una persona.
A di ciò il Documento di Indirizzo nella sua ultima versione, stabilisce che ogni azienda definisca il periodo di conservazione dei metadati, ovvero dei dati esterni generati seguito dai sistemi di gestione della posta elettronica e registrate nei c.d. “file di log“.
Il Garante fornisce un’indicazione orientativa del periodo di conservazione dei metadati, indicando un tempo massimo di 21 giorni, salvo prolungamento comprovato da particolari e giustificate condizioni.
Una eccezione che, dunque, deve essere adeguatamente motivata per evitare una ingiustificata raccolta pervasiva e generalizzata.
Prevenire è meglio che curare. Sempre
