Ti è mai capitato di utilizzare sistemi in cloud per le mail? Se la risposta è sì, tieni ben presente che in una comunicazione elettronica vi sono i metadati. Ecco quello che serve per garantire una maggior tutela per le mail dei dipendenti.
Ti è mai capitato di utilizzare sistemi in cloud per le mail? Se la risposta è sì, tieni ben presente che in una comunicazione elettronica vi sono i metadati.
ATTENZIONE: Questo articolo è stato scritto prima del 27/02/2024, quando il Garante per la protezione dei dati personali ha deciso di iniziare una consultazione pubblica di 30 giorni al fine di valutare la piena attuazione del provvedimento.
Cosa sono i metadati?
I metadati sono informazioni descrittive che forniscono contesto e significato ai dati. Possono variare notevolmente a seconda dei dati o del contesto in cui sono utilizzati. Ad esempio, nei documenti digitali, i metadati possono includere informazioni quali l’autore, la data di creazione, l’ultima data di modifica, l’ultima data di modifica del formato dei file. Nei file multimediali, come foto e video, i metadati possono contenere informazioni sulla videocamera utilizzata, la posizione geografica, la data e ora di scatto e altro ancora.
In virtù della normativa privacy e degli obblighi cui devono sottostare i datori di lavoro pubblici e privati (che per la gestione della posta elettronica utilizzano programmi forniti in tali modalità) da oggi queste figure hanno a disposizione nuove indicazioni utili a prevenire trattamenti di dati in contrasto con la disciplina sulla protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori.
L’intervento del Garante per la protezione dei dati personali
Il Garante per la protezione dei dati personali ha pertanto adottato un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati.
Il documento nasce a seguito di accertamenti effettuati dall’Autorità dai quali è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare - per impostazione predefinita, in modo preventivo e generalizzato - i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad esempio giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail). In alcuni casi è emerso anche che i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione.
Quali sono i metadati in una e-mail?
I metadati nelle email forniscono informazioni cruciali sulle comunicazioni digitali. Questi dati includono informazioni cruciali come l’indirizzo mail del mittente e del destinatario, l’oggetto, la data e ora di invio, nonché eventuali indirizzi IP associati. I metadati possono anche includere informazioni sul percorso della mail che ha seguito durante la trasmissione dei server. Sono importanti per tracciare la provenienza delle mail ed identificare eventuali frodi o violazioni.
In buona sostanza i metadati sono importanti ed essenziali per una serie di ragioni. Innanzitutto facilitano la gestione e l’organizzazione dei dati. Con essi è possibile categorizzare e cercare e recuperare i dati in base agli attributi. Conoscere la storia del dato può aiutare a garantirne l’integrità e l’affidabilità. Possono inoltre consentire il giusto contesto di interpretazione dei dati.
Il documento per la protezione dei metadati
Alla luce di quanto visto sopra, il Garante chiede quindi ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione ad un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore. Periodo considerato congruo, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore.
I datori di lavoro che per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare (in particolare, ad esempio, per specifiche esigenze di sicurezza dei sistemi) avessero necessità di trattare i metadati per un periodo di tempo più esteso, dovranno espletare le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro). L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore.
Limite per la conservazione dei metadati - Le soluzioni
Al fine di limitare la conservazione di questi dati, sul web sono circolate già le prime istruzioni. Non è sempre tanto facile a dirsi quanto a farsi, però: nello specifico, per esempio, Gmail non prevede un’adeguata limitazione della conservazione diretta con i suoi applicativi e per garantire la tutela dei dati si dovrebbero utilizzare servizi terzi non integrati nello Workspace della mail, quali Google Vault (solo per citarne uno). Anche Microsoft non prevede strumenti e rimanda a più generici strumenti terzi.
Che fare?
La data retention può essere considerata una spina nel fianco in questa casistica e qualcuno potrebbe obiettare che il metadato è essenziale in relazione alla fruizione e conservazione delle mail. Fermo restando che i metadati sono dati a tutti gli effetti e rientrano a giusto avviso all’interno del principio di minimizzazione del GDPR ai sensi dell’articolo 5 dello stesso, e che potrebbero configurare un controllo a distanza del lavoratore vietato o meglio limitato e inquadrato dallo statuto dei Lavoratori.
Il consiglio è quello di rivolgersi a esperti del settore o ai propri amministratori di sistema, soprattutto nelle realtà più complesse. Oltre a ciò andrà rivista anche l’informativa privacy fornita ai dipendenti nonché la policy relativa al periodo di conservazione dei dati in azienda.