Chi vusa püsé la vaca l'è sua
Nota preliminare alla lettura: il Garante ha ragione. Non è mia intenzione confrontarmi ma ragionare e, purtroppo, lo so fare solo così. Si prega di leggere questo pezzo tenendo ben presenti le mie intenzioni semiserie e l’animo giocoso, con il dovuto rispetto per le funzioni istituzionali e del lavoro altrui.
Una lettura ragionata del provvedimento del Garante che include il Documento di indirizzo in materia di posta elettronica.
Questo articolo non è adatto ai minori
Questo articolo è destinato agli addetti ai lavori
Questo articolo è sconsigliato a persone emotive, narcisiste, egocentriche e infantili
Nessun animale è stato maltrattato per la redazione dell'articolo.
Leggiamo insieme il provvedimento del 21 Dicembre 2023, pubblicato il 7 Febbraio 2024.
I considerando sono ripresi dal testo del provvedimento quindi li omettio.
1 Introduzione
L’introduzione definisce UNO SPECIFICO RISCHIO riscontrato dal Garante consistente nel fatto che prodotti informatici destinati alla gestione della posta elettronica, al servizio dei titolari, POSSANO RACCOGLIERE IN MODO PERVASIVO E GENERALIZZATO I METADATI RELATIVI ALL’UTILIZZO DEGLI ACCOUNT DI POSTA IN USO AI DIPENDENTI.
Gli esempi fatti dal garante riguardano dati, o meglio, metadati, relativi ai singoli messaggi come giorno, ora, mittente, destinatario, oggetto, dimensione.
Temo che questo passaggio contenga un primo e fondamentale problema: i dati di uso dell’account di posta sono una cosa distinta rispetto ai dati propri dei singoli messaggi.
I dati di uso di un account possono essere riscontrati prendendo in considerazione elementi “di uso” come, ad esempio:
- indirizzo IP di collegamento al server di posta
- data e ora di collegamento, di invio di un messaggio, di scaricamento dei messaggi e di ogni altra operazione che genera righe di log
- client utilizzato e suoi dati specifici, programma, versione
- data ed ora del login
- data e ora e frequenza dei download
- data e ora dei collegamenti per l'upload ricordiamolo, i sistemi possono lavorare anche offline e la data, ora dei singoli messaggi può tranquillamente essere diversa da quelle di invio/ricezione
Nel caso di interfacce web (Webmail) di accesso, i dati di uso sono quelli utilizzati e registrati dal fornitore e assomigliano molto ai dati registrati durante una navigazione web qualsiasi:
- indirizzo IP (gia visto)
- browser utilizzato
- dati del sistema operativo, dell’hardware, dimensioni del monitor, stato della batteria e tutti quei dati che il browser scambia con il sito web o con il portale di accesso alla posta tramite web, tanto cari alle funzioni di analytics
- cookie letti e scritti
- ecc.
Direi che si va ben oltre rispetto a giorno, ora, mittente, destinatario, oggetto, dimensione.
Questi dati di uso possono effettivamente costituire un rischio, come descritto dal garante, ma generalmente sfuggono al controllo del titolare del trattamento. Solo il gestore del servizio li può trattare e, non essendo il datore di lavoro delle persone che utilizzano le mailbox, non è toccato dal provvedimento del Garante.
Questi stessi dati, tuttavia, anche se generalmente non sono accessibili al titolare del trattamento, potrebbero diventare un serio problema in particolari contesti ove vengano installate tecnologie invasive di controllo che li intercettino durante l’ordinario funzionamento dei sistemi come, per esempio, un router con funzionalità di filtro o analisi del traffico, uno sniffer, un sistema di analytics sul sito che ospita la posta elettronica. Questi sono metadati e sono pericolosi, queste sono situazioni da regolamentare e dove l'intervento del Garante è auspicabile.
Gli esempi portati dal Garante non paiono coerenti con la casistica alla quale sono ricondotti perché data, ora, mittente e destinatario non sono dati di uso ma dati di routing, necessari per inviare e recapitare il messaggio e fanno parte del messaggio stesso. Infatti, il mittente e il destinatario qualificano e danno senso al mero contenuto della mail, la data e l’ora del loro invio costituiscono elementi essenziali di una comunicazione poichè la definiscono nello spazio e nel tempo.
Orbene, queste due tipologie di dati, quelli che cita il garante e quelli che cito io, non coincidono, hanno differenti finalità, differenti basi di legittimazione e, soprattutto, hanno differenti titolari che ne governano elementi quali finalità e modalità di trattamento.
Ricondurre questi dati al Titolare Datore di Lavoro è una semplificazione che porta ad un errore: attribuire ad un soggetto colpe non sue.
In effetti, un datore di lavoro, sia esso pubblico o privato, desidera solo poter inviare e ricevere posta, indirizzata, contestualizzata nello spazio e nel tempo. Ogni altro aspetto tecnico, funzionale all’invio e alla ricezione, non gli compete, non gli interessa e sfugge al suo controllo proprio perchè afferisce ad un altro titolare del trattamento.
Per non incorrere in un difetto logico, se si decide di sposare l’analogia proposta dal Garante (meglio espresso nel punto 2 normativa), questa deve essere adottata in modo integrale e non parziale. La posta elettronica, così come quella tradizionale, tutelata dalla legge e qui in discussione, si appoggia ad un soggetto terzo, un autonomo titolare, che risponde davanti alla legge per le proprie scelte. POSTE ITALIANE, SDA, TNT, DHL, NEXIVE, UPS e tutti gli altri 80 operatori accreditati presentano una stretta analogia con Google, Microsoft, Protonmail, Libero, Tiscalinet, Aruba GMX, Yahoo, Outlook, Maildotcom, iCloud, ecc.
(solo per curiosità si veda qui: https://www.mimit.gov.it/images/stories/documenti/Elenco_operatori_postali_-_LIC_AUG_AEI.pdf )
Nell’esercizio della funzione istituzionale, il recapito della corrispondenza, sia gli operatori di posta tradizionale che quelli di posta elettronica non sono qualificabili “responsabili del trattamento” e operano in regime di autonoma titolarità. Qui si gioca la tenuta logica e normativa del provvedimento.
Per questa ragione appare inappropriata la conclusione alla quale giunge il Garante, sia perché prende come riferimento dati di uso richiamando però dati propri del messaggio, sia perché riconduce il rischio paventato al titolare del trattamento sbagliato.
Volendo applicare una interpretazione conservativa, in modo da cercare un senso in ciò che il legislatore ha scritto, volendo negare la possibilità che vi sia una aporia nel testo, si possono esplorare casistiche particolari in cui i dati di uso degli account (idonei a monitorare l’attività lavorativa) possano coincidere con i dati a disposizione del datore di lavoro, ossia quelli di indirizzo e collocazione spazio temporale del messaggio ricevuto o inviato.
Per quanto riguarda la posta ricevuta, non mi sembra che l’ipotesi abbia un riscontro nella realtà.
Per quanto riguarda la posta inviata, si potrebbe pensare che i dati di spedizione qualifichino il rischio poichè identificano il momento in cui un lavoratore ha premuto il tasto invio, quante email ha inviato nella giornata, in che orari le ha inviate, ma questo porterebbe a conclusioni peregrine e non condivisibili.
Sempre a causa dell'analogia portata dal Garante, se i dati di invio dei messaggi di posta integrassero la fattispecie di rischio paventata dal Garante, lo stesso rischio dovrebbe essere riscontrato anche per l’impiegato addetto ai pagamenti dei bollettini postali, all’effettuazione dei bonifici in banca e ogni altro lavoro che sia referenziato nel tempo e nello spazio dai dati che genera e che sono strettamente funzionali al lavoro stesso, spesso accessibili in via telematica e , comunque, destinati ad essere raccolti in un archivio strutturato, quindi soggetti al GDPR.
Faccio fatica a pensare che “giorno ora e ufficio postale” debbano essere cancellati dai bollettini di pagamento o dalle ricevute dei bonifici effettuati. Faccio fatica a credere che sia il GDPR a chiedere questo.
Tornando quindi a quanto scritto dal Garante nel punto 1 del documento (Introduzione), se esistono dei rischi, se vi sono dati e trattamenti che preoccupano, di questo occorre parlare con il gestore del servizio in qualità di autonomo titolare.
Certamente, al Datore di Lavoro compete la scelta del gestore di posta, sia fisica che digitale e deve preferire quello che sappia dare le migliori garanzie, ma non si può ignorare il fatto che i dati giudicati problematici non sono nella disponibilità e nemmeno nella visibili dei datori di lavoro.
Sono certo che il Garante potrà orientare e supportare le aziende sanzionando quei gestori, autonomi titolari, presso i quali sono stati riscontrati dati eccedenti le finalità dichiarate, conservati sine die o resi accessibili a soggetti non autorizzati.
Il paragrafo 1 si chiude con una considerazione importante:
… talvolta ponendo, altresì, limitazioni al cliente (datore di lavoro) in ordine alla possibilità di modificare le impostazioni di base del programma informatico al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi.
Volendo supportare i Datori di Lavoro, posso solo consigliare di precostituirsi le prove per accertare una condotta diligente e, quindi, mandare una richiesta al proprio fornitore chiedendo di disabilitare la raccolta e ridurre il periodo di conservazione dei dati in conformità al provvedimento del Garante Privacy n. 642 del 21 Dicembre 2023, richiamandone integralmente i contenuti in merito a individuazione dei dati e tempistiche di conservazione.
Proseguendo nell'analisi, al punto 2 si trova una “legittima aspettativa” che richiede cautela e maggiore attenzione. Mi riferisco al fatto che, per il Garante, “anche nel contesto lavorativo pubblico e privato, sussista una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza”.
Personalmente non mi accontenterei e farei una distinzione tra differenti casistiche, variamente combinate:
Azienda organizzata che ha informato i lavoratori e che li ha vincolati ad un uso esclusivamente lavorativo delle mailbox | Azienda disorganizzata, libera spensierata e sgarzullina | |
Email composte in modo personale: christianbernieri@azienda.it | Caso che presenta una limitata legittima aspettativa MEDIO RISCHIO | Caso che presenta una legittima aspettativa ALTO RISCHIO |
Email compost in modo funzionale: urp@gpdp.it | Caso dove fatico a vedere l’ombra di una aspettativa e, se questa esiste, è riconducibile ad un grave errore del lavoratore BASSO RISCHIO | Caso che presenta una legittima aspettativa ALTO RISCHIO |
Email collettiva riconducibile unicamente all’azienda: info@gpdp.it | Ma di che cosa stiamo parlando? |
Vedo 4 casistiche differenti che meritano una gestione ben diversa. Omogeneizzare tutto in una unica fattispecie genera dei mostri giuridici, distanti dalla realtà e indigeribili per l’interprete.
In ordine di rischio:
RISCHIO ALTO: l’azienda disorganizzata avrà sempre torto e il trattamento sarà sempre problematico. Questa è l’azienda che lascia le buste paga aperte sul tavolo, che non si cura di nulla e di nessuno e che forse non ha nemmeno capito che esiste il GDPR. Benvenga un intervento, un provvedimento e una sanzione.
RISCHIO MEDIO: email personali ma ad uso esclusivo professionale dimezzano il rischio. Il lavoratore, avvertito, addestrato, consapevole, non userà certamente la posta per fini personali e sa perfettamente come possono essere usati i dati dei messaggi. Certo, non può controllare la posta in arrivo che potrebbe metterlo in imbarazzo e quindi sussiste un rischio. Per questo, le classiche misure di gestione della posta personale possono essere calibrate caso per caso.
RISCHIO BASSO: ho citato una mail molto particolare, quella dell’ufficio relazioni con il pubblico del Garante. Troverei strano che i funzionari incaricati di presidiare questa email si sentano pervasi da una legittima aspettativa di riservatezza in relazione ai messaggi ricevuti ed inviati. Magari mi sbaglio
RISCHIO NULLO: questa casistica dovrebbe essere stralciata. L’intero discorso non si può applicare ad una mail prettamente aziendale, la cui ricezione è distribuita su più utenze e che non genera, di fatto, dati personali in relazione al suo utilizzo. La maggior parte delle aziende italiane sono microimprese e possono facilmente ricadere in questa casistica. Ma non solo. Ho esperienza diretta di una primaria banca che riceve su indirizzi generali e risponde senza firma e senza qualificare il funzionario o l’operatore.
Proseguendo l’analisi del testo, ogni paragrafo risente inevitabilmente delle considerazioni iniziali. Parlando di trattamenti, di acquisizione dati, di definizione delle finalità, non posso che richiamare costantemente l’estraneità del Datore di Lavoro rispetto ai pericolosi trattamenti che ha in mente il Garante.
Il Datore di lavoro deve definire le finalità di un trattamento e a queste si deve attenere. Se sono lecite e se non effettua altri trattamenti, il GDPR e lo Statuto dei Lavoratori devono ritenersi soddisfatti.
Naturalmente operano tutte le garanzie previste dalla norma e se un datore di lavoro provasse anche solo a pensare di usare dati in suo possesso per finalità differenti, come il controllo a distanza dei lavoratori o valutazione dell’attitudine professionale, si vestirebbe da criminale e dovrebbe affrontare un tribunale per violazione di una norma penale.
Pensare ai dati personali significa pensare ad un coltello.
In cucina abbiamo tutti i coltelli per spalmare, quelli per tagliare e anche quello lungo per il pane. Ogni tanto capita che qualcuno li usi in modo inappropriato e questo implica la galera per chi ne abusa.
Se in cucina avessi una Katana, una scimitarra e un arsenale di Kriss e maceti, sarei d'accordo nel vedersi sollevare qualche sopracciglio e troverei giusto dover rispondere a qualche domanda ma non darei per scontato che mi stia preparando per un assalto armato.
Ecco, penso che le aziende siano in questa stessa situazione: hanno i coltelli in cucina, o meglio, hanno un normalissimo sistema di posta elettronica, utilizzato per finalità lecite, condivisibili e necessarie.
Se qualcuno sbaglia deve pagare, sia nell’abuso dei coltelli che dei dati.
Se qualcuno utilizza sistemi più evoluti, forse ha anche esigenze più complesse da gestire
Vietare di conservare i messaggi di posta elettronica per più di 7 giorni equivale a vietare i coltelli nelle cucine a tutti.
Proseguendo, il punto 2 enuncia una serie di previsioni normative di cui una sola merita attenzione, il punto sulla responsabilizzazione. Correttamente, il Garante descrive il meccanismo sulla base del quale solo il Titolare può valutare l’entità del rischio sotteso ai trattamenti, tenendo in considerazione fattori non visibili dall’esterno e arrivando a definire la necessità di una eventuale DPIA (valutazione di impatto). Questo passaggio è cruciale, tanto corretto quanto moderno. Proprio questo principio, contenuto nel GDPR, ci ha permesso di superare le antiche logiche tabellari in cui un legislatore distante dalla realtà elencava, come una lista della spesa, misure minime di sicurezza o dettava parametri quantitativi da non superare, come se fosse il depositario del metro supremo per giudicare il bene dal male. È grazie a questo principio che il tempo di conservazione dei dati sfugge ad una quantificazione preordinata e uniforme, dovendo dimostrare adeguatezza unicamente alle finalità che il titolare ha definito.
Sarebbe tutto fantastico sennonché il Garante, in questo provvedimento, stabilisce limiti numerici semplicemente incongrui, calati dall’alto in modo aprioristico, con buona pace del principio di accountability.
Punto 3, la disciplina di settore.
Qui la luce si spegne e si brancola nel buio.
Dopo una lettura dell’art 4 dello statuto dei lavoratori, compare un passaggio che non riesco a ricondurre ad alcuna logica.
Vero è che laddove esiste un rischio di abuso dei dati, lo statuto permette l’uso di strumenti solo per 4 determinate finalità (esigenze organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale)
Altrettanto vero che il legislatore aggiunge una finalità che deroga completamente al divieto, andando ad affiancare le 4 citate e operando in autonomina, come esimente da ogni procedura autorizzativa, a prescindere dalla coesistenza di altre finalità altrimenti ritenute necessarie e vincolanti. In altri termini, quando uno strumento è “utilizzato dal lavoratore per rendere la prestazione lavorativa”.
Personalmente non concordo con le interpretazioni eccessivamente restrittive, specialmente in presenza di una posizione così marcata della esimente, a fianco a ciò che pare ovvio, come il marcatore segnatempo per la rilevazione delle presenze. Si, a me pare ovvio che rilevare le presenze e dare al lavoratore gli strumenti con i quali possa fare il proprio lavoro sia e debba restare possibile, senza chiedere autorizzazioni a nessuno. L’azienda, il datore di lavoro, deve essere libero di organizzare il lavoro e gli strumenti per eseguirlo. Anche questa è una libertà fondamentale presente a livello costituzionale (art 41) e il dovere dell’interprete non è essere restrittivo ma armonizzare questa libertà con le altre che la affiancano e che la delimitano, tra le quali il diritto alla riservatezza dei lavoratori.
Non riesco a vedere le ragioni di una compressione dei diritti quando è possibile contemperarli e adottare una logica a somma positiva (Win-Win per gli alloglotti). La logica a somma zero è stata superata proprio grazie al GDPR e mi rattrista vedere che sia ricomparsa in uno spaesato documento che sembra pervenuto (via posta ordinaria) da un’altra epoca.
Il passaggio logico che, mio malgrado, non colgo è come dalla lettura dello statuto si arrivi alla perentoria, necessaria, ovvia e lampante constatazione della presenza di limiti aprioristici di conservazione del dato che mi ricordano tanto il mercato delle vacche:
non più di poche ore,
ma anche alcuni giorni
ma non più di 7 giorni,
ok, anche 7 giorni + 48 ore
… e “Chi vusa püsé la vaca l'è sua”.
E dov’è andato il GDPR con il suo principio di accountability?
In vacca, appunto.
Il Garante si spinge oltre e ipotizza uno scenario alternativo: cosa succederebbe se i dati fossero conservati più a lungo?
Beh, lo scenario ipotizzato è molto limitato e prende in considerazione solo la loro presenza per finalità di sicurezza dei sistemi.
Non prende in considerazione ciò che è vergato nella norma, dolorosamente scritto con il sangue di chi ha rivendicato diritti e combattuto per ottenere uno statuto che li potesse contemperare tutti… ma dove sono le finalità preordinate suggerite dall’art. 4? Cosa gli facciamo fare ai lavoratori se non possiamo tenere i dati che ci servono per lavorare?
Nonostante le novelle intervenute, l’articolo 4 merita di essere riletto. Io l’ho fatto e non sono riuscito a trovare questi 7 giorni indicati dal Garante. Ho anche messo gli occhiali. niente, non ci sono.
Anche una lettura sinottica mi ha deluso perchè il combinato disposto dello statuto e del GDPR non fa che allontanarsi dai rigidi parametri indicati dal Garante, proprio a causa del principio di accountability sopra citato.
Di nuovo, mi sembra che la questione sia tornata ai coltelli, nel senso buono, ai coltelli da cucina, che per il solo fatto che potrebbero essere utilizzati da un criminale, per finalità vietate, debbano essere vietati.
Il Garante continua a riproporre questo come fosse un mantra e io non riesco a capire perché. Questo ragionamento, vietare perchè esiste la possibilità di un abuso, è diametralmente opposto a quella che mi sembra essere la logica sistematica del GDPR: una norma che ha lo scopo di agevolare la libera circolazione dei coltelli, nel rispetto delle norme che ne garantiscono la protezione…. hem, rectius, dei dati personali,
Arriviamo al punto 4, le “possibili responsabilità dei datori di lavoro”.
Oggi devo avere problemi di vista. Trovo solo le responsabilità dei datori di lavoro e nulla più… nulla che faccia riferimento alle responsabilità dei provider.
Si, quegli stessi provider che ho descritto inizialmente, gli stessi sui quali anche il Garante getta l’ombra del dubbio, quelli che usano i VERI metadati relativi all’uso dei sistemi di posta elettronica, quelli che lo fanno per proprie finalità, senza permettere ai datori di lavoro di modificare la raccolta e la conservazione, senza dare alcun accesso a quei pericolosi dati personali… si, quegli autonomi titolari del trattamento ai quali bisognerebbe porre alcune scomode domande.
Immaginavo di trovare un paragrafo, peraltro corposo, intitolato “le possibili responsabilità dei provider per i trattamenti effettuati nell’ambito dei servizi resi al fine di veicolare i messaggi di posta elettronica”.
Il Documento di Indirizzo illustra qui una casistica di tutti i modi in cui un datore di lavoro può violare la legge abusando dei dati personali, rischiando una condanna penale e ponendosi chiaramente fuori da ogni logica di legalità.
Confesso che una delle idee mi ha colpito e voglio esplorarla meglio, a scopo scientifico, s’intende. Non ci avevo ancora pensato: analizzando la frequenza di contatto di un lavoratore con il suo corrispondente, il suo pen-friend, diventa possibile acquisire informazioni personali, addirittura intime.
Me lo vedo il lavoratore dell’azienda di traslochi che fa sexting con
l’ufficio TOSAP del comune.
“si, dimmelo ancora dove li devo mettere i cartelli segnalatori…”
Ok, ho sbagliato esempio. Forse questo potrebbe capitare.
Che dire, forse bisogna richiamare lo schemino iniziale, quello con le 4 casistiche in ordine di “professionalità”.
Le altre cose che penso su questo passaggio sono in vernacolo livornese e non posso scriverle qui.
La prudenza mi suggerisce di sorvolare i punti 4.2 e 4.3.
Però il punto 5 mi da una grandissima soddisfazione. Ecco, ho pensato male e ho sbagliato. Il Garante ha messo nero su bianco anche un severo monito ai provider, vale a dire alle aziende che sviluppano e commercializzano sistemi atti a gestire la posta elettronica. Beh, se i datori di lavoro hanno percepito tanta severità, immagino che ora i provider li facciamo neri…
Eccolo:
In tale prospettiva, si invitano i produttori dei servizi e delle applicazioni, in fase di sviluppo e progettazione degli stessi, a tenere conto del diritto alla protezione dei dati tenuto conto dello stato dell’arte (v. cons. 78 del Regolamento).
! ! ! S I S T A N N O C A G A N D O S O T T O ! ! !
Adesso si che ci penseranno due volte prima di smerciare prodotti e servizi che non siano meno che perfetti e compliant rispetto al GDPR e al Documento di Indirizzo del Garante.
Speriamo solo che il mercato non imploda.
Anche perchè, se non lo facessero, come indica il Garante, le aziende e gli enti della PA avrebbero solo due scelte:
- chiedere una autorizzazione al ministero per l’uso dei sistemi, che non verrà mai rilasciata se non in termini irrealistici, che i prodotti in uso non consentono di rispettare
oppure
- abbandonare l’uso dei sistemi che non hanno le caratteristiche indicate dal Garante.
Sono certo che in un ragionevole lasso di tempo, vedremo comparire fantastiche soluzioni perfettamente a norma. Entro 5 anni usciranno dalla beta, entro 10 anni vedremo almeno tre player tra cui scegliere. Nel frattempo, naturalmente, niente email.
Non resta che una cosa da fare, come indicato dal documento al successivo punto 5, contatto subito uno dei miei fornitori per chiedere ciò che il Garante suggerisce:
PEC a googleitaly@legalmail.it
Oggetto: Provvedimento del Garante Privacy n. 642 del 21 Dicembre 2023 - documento di indirizzo per sistemi di posta elettronica
Spett.le Google Italy srl,
con riferimento al provvedimento in oggetto, io sottoscritto Bernieri Christian (p.Iva xxxxx), vostro cliente e raggiungibile all'utenza google workplace xxxxxx, come espressamente previsto dall'autorità Garante, vi chiedo:
- di limitare il trattamento dei metadati relativi alle comunicazioni email in uscita ed in entrata, archiviate nei sistemi di posta elettronica da me in uso secondo i limiti temporali fissati dal Garante (poche ore, o alcuni giorni, o 7 giorni, o 7 giorni + 48 ore, in funzione delle finalità perseguite)
- di confermare il rigoroso rispetto dei principi contenuti nell'art 5 del GDPR, in particolare il principio di minimizzazione dei dati e di limitazione delle finalità.
- di consentire la modifica delle impostazioni relative alle impostazioni di conservazione dei dati e approntare un sistema di offuscamento dei metadati relativi alle comunicazioni email (data, ora, mittente, destinatario, frequenza di contatto).
- di disattivare funzioni incompatibili con le finalità del trattamento come, a titolo di esempio, le funzioni analitiche e la conservazione dei messaggi cancellati, ancorché non più visibili tramite interfaccia webmail o collegamento da client di posta.
hem.. No… così mi faccio ridere da solo.
Riformulo:
Spett.le Google Italy srl,
con riferimento al provvedimento in oggetto, la scrivente intende verificare che i programmi e servizi informatici di gestione della posta elettronica in uso ai propri dipendenti consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati relativi ai singoli messaggi quali giorno, ora, mittente, destinatario, oggetto, dimensione.
Vi chiediamo, a titolo esplorativo, se sussiste la possibilità di impostare il periodo di conservazione degli stessi ad un limite massimo di 216 ore (9 giorni). Con la presente vi chiediamo di rilasciare una dichiarazione di ottemperanza attestante la conformità del servizio erogato al provvedimento in oggetto. La richiesta fa riferimento unicamente ai trattamenti da voi erogati in regime di "responsabile del trattamento" come definito dall'art 4 del GDPR (data processor) e non si estende ai trattamenti da voi effettuati in regime di autonoma titolarità (data controller) Cordiali saluti.
Cordiali saluti.
Christian Bernieri
Spedita. (non scherzo)
Ora non resta che attendere la risposta che spero di poter pubblicare qui.
Ah, no, che dico, stavo per fare un errore colossale… devo cancellare subito la PEC dalla webmail!
Come DPO non posso permettermi di violare le norme e le linee guida del Garante.
Il documento da analizzare è terminato e, visto che sono stato compassato, a questo punto posso permettermi un commento in libertà.
C’è un elefante nella stanza e spero che qualcuno se ne accorga.
Il Documento di indirizzo ci parla di un sistema di posta. Ma quanti usano un sistema di posta?
Quanti utilizzano un sistema puro, che sia finalizzato UNICAMENTE alla gestione della posta elettronica? Questa domanda racchiude un mondo temo che sia sfuggito.
La maggior parte delle aziende trattano i dati per varie finalità, tra loro interconnesse. Le email sono gestite da un sottosistema che ha la precisa funzione di inviare e ricevere i messaggi ma non è solo, accanto ci sono altri sottosistemi con specifiche finalità, diverse, legittime, che esulano da ciò di cui il documento di indirizzo parla.
La posta in arrivo genera inviti in calendario, link a riunioni, verifica disponibilità di sale e colleghi, viene digerita per formulare risposte automatiche, va in coda per essere riproposta e permetterne la gestione in un contesto di risorse limitate, si trasforma in un ticket, alimenta un CRM o un gestionale, viene condivisa tra più uffici, più funzioni aziendali poichè i processi che portano all’erogazione dei servizi sono articolati e complessi.
Sono solo esempi ma si può andare oltre. Molti sistemi di posta sono degli ecosistemi di comunicazione che integrano posta elettronica, messaggistica istantanea, telefonia, calendario, memo, to do list, videoconferenze, stato avanzamento lavori sui progetti, ecc.
Ma anche volendo spostare le email in un DMS (document management system), siamo sicuri che le cose migliorerebbero per la protezione dei dati del lavoratore?
Che senso ha prendere ogni singolo messaggio email, di cui un datore di lavoro può vedere data, ora, mittente, destinatario, cancellarlo dai sistemi di posta elettronica e riportarlo, tale quale, in un altro sistema, un DMS sul quale saranno necessariamente annotare natura del documento, cliente di riferimento, data, ora, mittente, destinatario e che sarà indicizzarlo con una pluralità di parametri aggiuntivi? È questa la soluzione?
E quanto costerebbe in termini organizzativi gestire la posta come suggerito dal Documento di indirizzo? Non parlo del costo economico, transeat, parlo del costo per le persone, del costo di email che non si trovano più, di documenti perduti, di errori che si moltiplicano, di database che proliferano, di incertezza nei rapporti e difficoltà nel documentare fatti e circostanze. Già me lo vedo. I lanciatori di coltelli non aspettano altro che una nuova scusa per poter dire “Mi spiace, non abbiamo più quei dati, sa, per la privacy!”
Eccolo l’elefante. Quei dati, metadati secondo il Documento di indirizzo, sono necessari e funzionali a molto altro, tutto lecito e decisamente riconducibile alla lungimirante previsione dell’art 4 dello statuto.
Sono strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa.
Di più, sono strumenti necessari al lavoratore per rendere la prestazione lavorativa.
Alla luce di questo, forse, bisognerà capire, con il Garante, l’effettiva portata del Documento di Indirizzo, il campo di applicazione reale di quei termini di conservazione di poche ore, pochi giorni, si ma non più di 7 giorni, ma anche 7 giorni + 48 ore.
La mia speranza è sempre la stessa: che i lanciatori di coltelli siano assicurati alla giustizia, che i maltrattatori di dati siano sotto processo, che i provider smettano di prendere per i fondelli i Garanti e i propri clienti, che le aziende sane possano lavorare godendo delle semplificazioni e delle tutele che il GDPR ha apportato, emendando il medioevo di burocrazia e maniacalità che abbiamo conosciuto in altri tempi.
Ma, OMFG, non c'è solo un elefante nella stanza, c'è anche un Unicorno glitterato!
All'elefante ci si può credere ma all'Unicorno glitterato no... eppure c'è.
La pubblicazione di questo provvedimento ha una implicazione logica. Se il documento è corretto, se le premesse sono corrette, se il procedimento logico è corretto, se le conclusioni sono corrette, allora non può essere applicato solo ai sistemi di posta elettronica.
DEVE necessariamente essere applicato, mutatis mutandis, anche a tutti gli altri sistemi che storicizzano metadati (nella accezione intesa dal Garante). Tutti, nessuno escluso.
Centralini telefonici
Router di rete
Browser per la navigazione in internet
Ma anche portali della PA
Software di office automation
Gestionali
Sistemi di messaggistica
Palmari per ordini e comande
...ecc.
Eccolo l'unicorno.
Sposare la tesi secondo la quale la posta, dopo una settimana, necessita dell'autorizzazione ministeriale, poichè può più essere considerato strumento usato per rendere la prestazione lavorativa, significa fare la stessa considerazione per tutti gli strumenti che presentano le medesime caratteristiche di storicizzazione dell'utilizzo.
Una ultima considerazione. Temo che alcuni consulenti e DPO potranno arroccarsi su posizione reattive, di pancia, elaborate come workaround in risposta al documento del Garante.
Un’azienda potrebbe arrivare a misure paradossali, non tanto per eliminare il problema inteso come il rischio sottesa al trattamento, quanto per togliersi dall’impiccio se il problema viene percepito nella norma stessa.
Capo: “Scusi, caro DPO, ma qui si esagera, tanto vale diventare banditi, da domani lei non lavora più qui, lei e la sua bella legge.”
DPO: “Ma no, non faccia così, c’è una soluzione. Faccia così, scarica tutta la posta in automatico con POP3, cancellando i messaggi dal server, automatizza un comando di stampa ed ogni email che arriva viene mandata alla stampante. Poi si lavora sulla carta.
Le email le tiene così, come capita, in modo alluvionale e risolve.”
Capo: “In che senso risolvo? Mi sembra persino peggio di prima.”
Capo: “Ma è del mestiere questo?”
DPO: “Beh, si, sarebbe peggio di prima e disboscheremmo l'amazzonia, però sticazzi! Il GDPR si applica solo ai dati personali trattati con strumenti digitali e ai dati cartacei destinati a confluire in un archivio strutturato. Quindi, quelli digitali li cancelliamo appena arrivano e quelli cartacei li mischiamo: niente archivio, niente GDPR! E così risolviamo la questione.”
Capo: “Lei è un genio! Anzi, è sprecato come DPO, la nomino subito direttore del Marketing!!!”
Prosit.
--- --- ---
Se sei arrivato fino a qui meriti un plauso. Complimenti!
Se ti è piaciuto l'articolo, se ti ha dato spunti utili per la tua vita privata o professionale, prendi in considerazione l'idea di ringraziarmi e puoi farlo in due modi:
- Condividendo il mio lavoro sui tuoi social. Questo aiuterà altre persone
- Con una donazione. Questo aiuterà me.