Metadati di posta elettronica - S1E2 - “The Piggyback”
Indice dei contenuti
- Piccolo recap
- Il grande assente si è palesato: la posta del dipendente non si tocca
- Il principio della relatività - spazio e tempo
- Cogenza: quattro chiacchiere davanti ad una birra
- Privacy washing
- Nei panni del metadato
- Un universo in espansione: il metadato diventa ogni log
- Dogma della cancellazione
- Dogma della finalità
- Dogma della transustanziazione
- Dogma del tempo
- Una buona notizia: un termine unico
- Un’altra buona notizia: il log dei log
- Un altro grande assente si è palesato: l’informativa
- Sofismi e approssimazioni
- Don Chisciotte della Mancia
- Il petardo bagnato che sognava di essere una bomba atomica
- Lo spirito della norma
NOTA: questo articolo presuppone la lettura del pezzo precedente, pubblicato in occasione della pubblicazione della prima versione del provvedimento sui metadati di posta elettronica. QUI
Rieccoci.
Dopo le facezie arriva sempre un momento in cui bisogna ricomporsi e fare sul serio, smettere di trastullarsi con i cavilli, limitare le congetture, tornare con i piedi per terra e pensare a ciò che va fatto. Nel bene o nel male un DPO deve procedere, fare dei passi avanti, smettere di oziare e passare all’atto pratico.
Piccolo recap
Il 21 diceme 2023 il Garante firmò un Provvedimento, pubblicato poi il 7 febaio 2024, con oggetto “I metadati nei sistemi di posta elettronica”.
A seguito della pubblicazione, vennero velatamente e timidamente espresse alcune isolate posizioni di leggera perplessità sul Documento di Indirizzo.
Anch’io espressi le mie osservazioni, più di forma che di sostanza. In considerazione della marginalità dei commenti, le pubblicai QUI nella speranza che potessero essere d’aiuto all’Autorità, ai colleghi DPO o alle aziende/enti Titolari del trattamento.
Il Garante, dimostrando una compostezza istituzionale non seconda all’attenzione verso ogni segnalazione, è stato in grado di captare queste voci sottotraccia e di farne tesoro per migliorare il suo testo. Venne subito sospesa l’efficacia del provvedimento e aperta una consultazione pubblica per dare modo di strutturare e raccogliere i contributi più significativi dell’intellighenzia.
Dopo un notevole lavoro di analisi critica e ascolto delle più sottili osservazioni, formulate dai generosi interpreti che hanno contribuito alla consultazione, il Garante ha operato una certosina sintesi e un’attenta revisione del testo finché, proprio ieri, ha pubblicato la versione aggiornata del Documento: Provvedimento del 6 giugno 2024 - Documento di Indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati [10026277]
Oggi possiamo contare su un testo chiaro, completo, in grado di supportare fattivamente i Titolari del trattamento impegnati nella corretta attuazione del GDPR.
Come ogni collega DPO, da lunedì mi dedicherò a supportare le aziende assistite che, finalmente, potranno muoversi per garantire una effettiva tutela degli interessati, certe di andare nella direzione giusta e di applicare correttamente le norme del GDPR, anche per non incorrere in trattamenti illeciti o sanzioni.
Il nuovo Documento di Indirizzo (di seguito D.d.I.) è stato modificato in ogni sua parte sia in modo esteriore che nella sostanza. Numerose sono sia le integrazioni che le cancellazioni. Molti paragrafi sono letteralmente cambiati di segno e si può dire che il Garante sia intervenuto persino sulla ratio legis.
Per apprezzare l’entità del lavoro di revisione dell’Autorità, ho confrontato e segnato ogni revisione al testo originario. Il risultato è impressionante. Il file che evidenzia le modifiche è scaricabile da QUESTO LINK.
Sicuramente non ci sarà una revisione n. 3 del D.d.I. che va considerato giunto alla sua versione finale.
Alla luce del testo definitivo, condivido con colleghi DPO e aziende/enti alcuni spunti di riflessione per la sua concreta applicazione.
Non è mia intenzione ribadire l’ovvio quindi non farò una sintesi dei contenuti palesi ed evidenti, anche perché il Garante è stato estremamente chiaro. Questo articolo non ha la pretesa di commentare o interpretare il D.d.I ma, semplicemente, raccoglie tutto ciò che io non capisco del documento. Sì, lo ammetto, ho molti limiti che mi impediscono di comprendere alcuni contenuti e alcune logiche presenti nel D.d.I.
Il grande assente si è palesato: la posta del dipendente non si tocca
Il D.d.I. chiarisce in più punti che la posta elettronica, con riferimento ai singoli messaggi e al loro contenuto, rimane sotto l’esclusivo controllo dell’utente (sia esso il mittente o il destinatario dei messaggi).
Nel D.d.I. non viene detto espressamente ma al DPO non può sfuggire il fatto che i singoli messaggi di posta non sono e non devono essere accessibili all’azienda, ma unicamente al lavoratore che ha in uso una determinata mailbox.
Siamo di fronte ad un elemento capitale, indiscutibile e lapalissiano, tanto chiaro da poter essere semplicemente richiamato di sfuggita e mai esplicitato nelle sue ovvie conseguenze: un'azienda che osi accedere alla posta elettronica del proprio collaboratore violerebbe le regole poste a tutela della corrispondenza, commettendo un reato di gravità e rilevanza ben maggiore rispetto al GDPR o allo Statuto dei Lavoratori.
Senza apportare alcuna novità alla norma, il Garante è certo del fatto che nessuna azienda osi anche solo pensare di accedere alla posta elettronica dei propri collaboratori, presenti o passati, né per ragioni prettamente connesse alla prestazione lavorativa, né per altre ipotetiche ragioni come esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale.
Nota: Art. 616 Codice Penale - Violazione, sottrazione e soppressione di corrispondenza
Chiunque prende cognizione del contenuto di una corrispondenza chiusa, a lui non diretta, ovvero sottrae o distrae, al fine di prenderne o di farne da altri prender cognizione, una corrispondenza chiusa o aperta, a lui non diretta, ovvero, in tutto o in parte, la distrugge o sopprime, è punito, se il fatto non è preveduto come reato da altra disposizione di legge, con la reclusione fino a un anno o con la multa da euro 30 a euro 516.
Se il colpevole, senza giusta causa, rivela, in tutto o in parte, il contenuto della corrispondenza, è punito, se dal fatto deriva nocumento ed il fatto medesimo non costituisce un più grave reato, con la reclusione fino a tre anni.
Il delitto è punibile a querela della persona offesa.
A beneficio dei singoli datori di lavoro/enti non posso fare altro che sottolineare il fatto che accedere alla posta del dipendente sia un tabù.
A beneficio dei provider, tuttavia, vorrei dare un utile consiglio non richiesto: si pongono al di fuori del consentito tutte le features simili a “Consenti accesso al tuo account” di Google Workplaces. Un prodotto non può prevedere una funzione che consenta una diretta ed immediata violazione del codice penale. Peraltro, la disponibilità della funzione induce le aziende clienti ad usufruirne liberamente, senza un warning, senza un banner, senza nulla che renda visibile la gravità del comportamento. Ecco come si presenta questa funzione, se utilizzata:
Il principio della relatività - spazio e tempo
Il D.d.I. fa esclusivo riferimento ai metadati, escludendo ogni sua applicazione rispetto alla corrispondenza e alle email vere e proprie.
Il Garante non intende regolare la conservazione della posta elettronica ma solo quella dei metadati contenuti nei log dei server addetti alle operazioni tecniche di invio, instradamento, ricezione o transito dei messaggi stessi. Quindi, che siano “alcuni”, “pochi”, “due”, “sette”, “nove”, "ventuno" giorni, i termini di conservazione riguardano solo i log.
Le aziende che hanno pensato di dover cancellare tutti i messaggi di posta elettronica più vecchi di una settimana saranno sollevate sapendo che questa ardita interpretazione è espressamente scongiurata dalla nuova versione del D.d.I. Spero che nessun collega abbia consigliato di cancellare la posta, anche perché ciò potrebbe essere in contrasto con alcuni articoli del codice civile (2220) e del codice penale stesso (616).
Ogni azienda deve comunque definire un tempo di conservazione della corrispondenza, anche a prescindere dal D.d.I. in oggetto.
Cogenza: quattro chiacchiere davanti ad una birra
Il D.d.I. non introduce alcuna variazione al quadro normativo e l’intenzione non è quella di aggiungere alcun nuovo adempimento a carico dei Titolari del trattamento. L’intenzione è sicuramente genuina ma resta a livello di wishful thinking poiché il D.d.I. ha, nei fatti, delle implicazioni pratiche evidenti.
Come DPO concordo che non vi siano elementi sorprendenti o novità rispetto al GDPR, tuttavia come ho già scritto altrove, ogni volta che si comprime il ruolo del titolare e la sua prerogativa di autodeterminare il criterio di adeguatezza delle misure necessarie al trattamento, si introduce un precetto che i Titolari devono applicare in modo differente rispetto alle proprie valutazioni. Questo, banalmente, corrisponde ad un nuovo adempimento. Non solo, definire un dettaglio come un tempo di conservazione o l’applicazione di una procedura autorizzativa, trasforma un normale trattamento in un illecito (rispetto al GDPR) e un titolare del trattamento in un reo (rispetto allo Statuto).
In più punti il Garante chiarisce la natura orientativa del provvedimento, un mero indirizzo, ma non si può fare a meno di ricordare che il Documento rappresenta ciò che l’Autorità considera corretta applicazione del GDPR.
Ogni DPO deve domandarsi come il Garante potrebbe valutare ipotetici comportamenti difformi da questo orientamento suggerito.
Personalmente mi sento esattamente come quando mia moglie dice: “Oggi mi piacerebbe tanto andare in centro ma decidi tu…”. La mia autostima va a mille, il primato della mia posizione mi esalta, mi sento determinante all'interno dell’ecosistema famigliare: a me spetta l’ultima parola e qui si fa quello che decido io… ma intanto stiamo andando in centro.
Personalmente sono un po’ perplesso perché il Garante conosce bene le dinamiche asimmetriche che regolano il rapporto tra datore di lavoro e lavoratore al punto da citarle nel D.d.I. Trovo singolare che non siano analogamente palesi le dinamiche riscontrabili tra Autorità Garante e Titolari del trattamento in relazione alla effettiva cogenza di un D.d.I. che, oltre a richiamare noti principi, enuncia quantità, tempistiche, definisce ambiti di applicazione e dettagli. Il D.d.I distingue i comportamenti corretti da quelli errati.
Un provvedimento a carattere generale avrebbe reso tutto molto più semplice, assumendo una valenza che non richieda di definire arbitrariamente la propria stessa natura e superando un limite evidente della forma scelta dal Garante: l’aver supportato la propria posizione sulla base di singoli provvedimenti emessi in occasione di attività istruttorie concentrate su singole casistiche particolari, non riscontrabili in modo identico presso altri Titolari.
Mi trovo spesso a formulare pareri e questi hanno effettivamente una natura orientativa rispetto all’azienda servita. L’azienda è libera di procedere anche in direzione differente e persino di cambiare DPO.
Tuttavia, se un'Autorità Garante pubblica ufficialmente un D.d.I., chiamiamolo pure orientativo, per di più dopo una consultazione pubblica, non sta semplicemente indicando una direzione tendenziale, bensì sta tracciando la rotta, sta definendo la velocità, il colore della macchina e il numero massimo di passeggeri. Forse ha addirittura scelto la marca della macchina con cui partire.
Privacy washing
Il Garante ha completamente ribaltato la prospettiva del D.d.I.
Non si dice più “questo trattamento è soggetto all’art. 4 dello Statuto”. Ora si dice “per non incorrere nell’obbligo previsto dall’art. 4 dello Statuto, ti suggerisco di fare così”.
A differenza della prima versione, l’Autorità intende fornire ai datori di lavoro indicazioni in ordine alla possibilità di trattare i metadati senza necessità di attivare la procedura di garanzia prevista dall’art. 4 dello Statuto dei lavoratori.
Mentre nella prima versione il D.d.I. si poneva come prescrittivo, indicando una fattispecie che avrebbe dovuto essere autorizzata dall’Ispettorato del Lavoro, nella nuova versione avviene l’esatto contrario: il D.d.I. funge da guida pratica per riuscire a fare qualcosa che, altrimenti, sarebbe vietato dalla legge e richiederebbe una specifica autorizzazione ministeriale o un accordo sindacale.
Non so bene come commentare questo approccio che richiama alcuni noti ossimori: consenso obbligatorio, silenzio assordante, ivido caldo, attimo infinito, assenza ingomante, morto vivente, false verità, fisco-amico, vacanza lavorativa, guerra civile, convergenze parallele, offerta conveniente, birra analcolica.
Mi ritorna alla mente la storiella (usata qui) dei due seminaristi che non possono fumare mentre pregano, ma possono pregare mentre fumano.
Incuriosisce la leggerissima correzione di rotta di “soli” 180 gradi. A prescindere da come si voglia porre la questione, la lettura e l’applicazione dell’articolo 4 dello Statuto è complessa e non può prescindere da un approccio sistematico. Ho già descritto le mie perplessità interpretative sulla posizione del Garante e anche sulle dinamiche tra Autorità Garante e Ispettorato Nazionale del Lavoro, ente ben allenato a maneggiare (con cura) l’articolo 4 dello Statuto.
Questo cambio di prospettiva ha l’indubbio vantaggio di esimere il Garante da ogni responsabilità sullo tsunami di richieste che l’Ispettorato dovrà gestire perché, formalmente, non è il Garante ad imporre nulla, anzi, lui sta cercando di aiutare l’Ispettorato e di alleggerire il carico amministrativo indicando modalità operative che consentano di escludere l’applicazione dell’articolo 4 e, con esso, di dover presentare istanza di autorizzazione.
Sarebbe tutto molto divertente ed istruttivo, se non fosse irrilevante ai fini pratici.
I Titolari si trovano oggi a scoprire di aver violato l’articolo 4 dello Statuto, di non avere nel cassetto l’autorizzazione per i log dei propri sistemi di posta, l’Ispettorato territoriale e nazionale ha davanti a sé l’onda di Hokusai fatta di richieste di autorizzazione e per i DPO nulla è cambiato rispetto alla prima versione del testo.
Peraltro, l’Ispettorato Nazionale del Lavoro è ancora ai blocchi di partenza, non ha pubblicato alcuna indicazione e alcuna modulistica dedicata alle centinaia di migliaia nuove richieste di autorizzazione in arrivo.
Nei panni del metadato
Per rimanere nel solco dei giochi di fantasia, è interessante fingere di mettersi nei panni del metadato di una email.
Me lo immagino come uno studente che ha preso un utto voto immeritato, con gli occhi pieni di lacrime domandare al Garante:
“Perché ce l’hai con me?”
“Cosa ti ho fatto di male?”
“Perché non te la prendi anche con i log della carta di credito? Hanno fatto il compito identico al mio!”
“Perché fai finta di non vedere che anche i tabulati telefonici hanno fatto i miei stessi sbagli?”
“Perché la fattura del Telepass prende sempre bei voti se mi copia sempre e copia anche i miei errori?”
In effetti, questo metadato dei log delle email sta evidenziando un certo accanimento e una asimmetria difficile da spiegare.
Non desidero ripetermi ma ho scritto molto su questo tema. Si veda qui:
Non ci stiamo nemmeno provando (a rispettare le regole)
Chi vusa püsé la vaca l'è sua
Un universo in espansione: il metadato diventa ogni log
Nella versione 1 del D.d.I. mancava completamente una definizione dell’oggetto del provvedimento. Si parlava di metadato ma senza alcun elemento che aiutasse a distinguere un metadato da qualsiasi altra cosa.
La versione 2 rimedia e abbonda: il metadato è ben definito e arriva ad includere tutto ciò che c’è nel log dei sistemi adibiti al trasporto dei messaggi di posta elettronica. In questa ondata di entusiasmo, è andata perduta la distinzione tra dato e dato personale. Sarà necessario ripristinare questo collegamento in via interpretativa. Di fatto il provvedimento si riferisce ora ai log nella loro interezza, anzi, ad ogni log, includendo anche quelli che, in funzione di particolari situazioni applicative, pur riguardando sistemi di posta in uso a lavoratori, non trattano affatto dati personali ma unicamente dati non riferibili ad alcuna persona fisica e, per questo, esclusi dal campo di applicazione del GDPR.
Un' altra distinzione un po’ troppo sfumata, e non adeguatamente approfondita, riguarda i sistemi che, pur essendo in uso a dipendenti, trattano dati personali unicamente riferibili ad altri soggetti (utenti, clienti, cittadini), non riconducibili ad alcun lavoratore. Nei log di questa categoria di sistemi di posta sono presenti dati personali che realizzano una ipotesi di controllo a distanza, pertanto sarà applicabile il GDPR, ma non rientrano affatto nel campo di applicazione dello statuto dei lavoratori e, in particolare, dell’articolo 4.
Purtroppo il D.d.I. non fa questa distinzione e, non potendo sperare in una ulteriore revisione, sarà necessario accollarsi il rischio di un'applicazione differente da quella delineata dal Garante oppure, in alternativa, trattare anche log palesemente privi di dati personali, privi di rischio di controllo a distanza, in modo identico agli altri.
Dogma della cancellazione
Il punto 2 del D.d.I. ripropone una questione interessante.
- I log contengono dati personali e, pertanto, comportano un rischio dovuto alla possibilità di monitoraggio a distanza dei lavoratori.
- per questo sono soggetti all’art. 4 dello Statuto e richiedono autorizzazione ministeriale;
- in mancanza devono essere cancellati per limitare il rischio;
- quindi la cancellazione “tempestiva” diventa una misura di mitigazione del rischio;
- se conservati per meno di 21 giorni, si beneficia di una esenzione (prevista dal comma 2 del medesimo art. 4 dello Statuto) e i log sono qualificabili come strumento necessario per rendere la prestazione lavorativa, ma
- 21 giorni sono un tempo enorme per chi volesse attuare un monitoraggio. Raramente sarebbe necessario disporre di log per più tempo e questa circostanza rende difficilmente comprensibile il termine di 21 giorni;
- per stessa ammissione del Garante, i medesimi dati presenti nei log sono replicati nelle “buste” delle singole email, anche se non immediatamente visibili al lavoratore. Questi dati, dunque, pur cancellando i log, esisteranno anche dopo 21 giorni. Da una lettura sinottica di D.d.I., GDPR, Statuto e Codice Penale, appare chiaro che l’unica misura che l’ordinamento richiede al fine di previene l'abuso dei dati contenuti nelle email è di tipo organizzativo: basta la norma penale che sancisce il divieto di accedere alla posta. Se il datore di lavoro accede all’archivio della posta in uso al lavoratore è pesantemente sanzionato. In questa situazione, di fatto, in piena applicazione del D.d.I., il dato problematico resta nella disponibilità del datore di lavoro che può accedervi, pur rischiano pensanti sanzioni;
- il divieto formale di compiere un'azione la rende illecita ma non la rende affatto impossibile, sicuramente non quanto la cancellazione di un dato che ne previene ogni possibile utilizzo. Pertanto il divieto formale di accedere alla posta del lavoratore non impedisce fisicamente il monitoraggio;
- se questo scenario è tuttavia ammesso (avere i metadati replicati nelle mailbox dei lavoratori, materialmente accessibili al datore di lavoro, ancorché vietando il loro accesso) e rappresenta una situazione prevista e coerente con il D.d.I., allora se ne deve dedurre che il mero divieto, severamente sanzionato, costituisca una misura adeguata e sufficiente di tutela del dato, almeno equivalente alla sua cancellazione;
Quindi
perchè, allora, viene indicata una misura fortemente asimmetrica per una situazione identica (i log contenenti i metadati)? Perchè per un’altra fattispecie dichiaratamente identica non è stata ritenuta adeguata la misura di un severo e perentorio divieto, assistito da severissime sanzioni penali e, al contrario, viene pretesa la cancellazione del dato?
Se in uno dei due casi identici è necessaria la cancellazione del dato per prevenire il trattamento illecito di monitoraggio, perché non viene preteso anche nell’altro identico caso?
Date le premesse, mi sarei aspettato uno scenario differente. Avrei trovato una certa coerenza in una previsione di questo tipo: un log degli accessi al log della posta elettronica, immodificabile, in base al quale ricostruire gli utilizzi e poter documentare gli abusi.
Sempre sulla base delle premesse, se la cancellazione (o autorizzazione) è una misura necessaria per impedire un trattamento illecito di monitoraggio dei log, mi sarei aspettato di riscontrare la medesima necessità e la medesima misura anche rispetto alle mailbox e ai singoli messaggi di posta elettronica.
Probabilmente l’errore nel mio ragionamento è dovuto al fatto di non riuscire a cogliere le differenze tra i due scenari, che giudico identici ma che probabilmente sono profondamente differenti.
Dogma della finalità
Nella definizione del termine di 21 giorni il D.d.I. prevede la finalità di “assicurare il funzionamento delle infrastrutture del sistema della posta elettronica”.
Nella maggior parte dei casi di mia conoscenza, i log non hanno questa funzione. Il log documenta una meccanica tecnica che prescinde dal log stesso, quindi, per definizione, non può essere considerato funzionale al recapito/trasporto/instradamento della posta elettronica.
Il Titolare del trattamento deve definire le finalità e si deve limitare ad un uso dei dati che sia coerente rispetto alle finalità perseguite. Il D.d.I parte da una logica differente che non è presente nel GDPR ma, eventualmente, solo nello Statuto dei Lavoratori e che mira a prevenire fattivamente una ipotetica finalità ulteriore, immaginata e temuta dal legislatore, anche se non voluta dal Titolare del trattamento, non dichiarata, non perseguita e concretamente non attuata.
Si va oltre il processo alle intenzioni, arrivando alla logica del precrimine: ti bastono perché potresti commettere un illecito.
Questo divieto preventivo, realizzato mediante una “cintura di castità” applicata a tutti i metadati per salvarli da un ipotetico abuso, si concilia male con il nostro ordinamento che non è basato sul vietare i comportamenti ma sull’accertamento e la sanzione dei comportamenti illeciti eventualmente posti in essere.
Mi piace ricordare questo aspetto perché ci distanzia da luoghi e periodi storici barbari e disumani: vietare un comportamento implica che lo Stato si attivi per renderlo impossibile, affinché nessuno possa attuarlo. L’esempio della cintura di castità non è casuale e resta un mezzo efficacissimo per vietare un certo tipo di violenza sulle donne. Peccato che abbia un costo sociale altissimo e produca diffusamente danni collaterali maggiori del beneficio atteso.
Ciò che facciamo in Italia, in Europa e, in generale, nel mondo civile, è garantire la libertà alle persone, libertà di vivere la propria vita, affrontando i rischi che questa comporta. È la stessa libertà di cui gode un imprenditore nell’esercizio della propria impresa. Sicuramente ci sono persone che abusano di questa libertà e meritano un processo ed una sanzione. Ma la cintura di castità no, per favore, ci riporta in un mondo che nessuno vuole.
Nota a margine: sì, lo so, la cintura di castità è un falso storico ma è un esempio utile anche perchè appartiene all’immaginario collettivo ed è moderatamente disturbante. Quanto scritto può serenamente essere riletto sostituendo ogni volta “cintura di castità” con il termine “infibulazione” che, purtroppo, non è affatto un falso storico.
Dogma della transustanziazione
Nella prima versione del D.d.I. era presente un elemento che non sono riuscito a comprendere e che ho chiamato “la transustanziazione della finalità”.
Un trattamento non cambia la propria finalità. Anzi, il GDPR prevede espressamente che le finalità siano definite e documentate a priori e che sia possibile introdurre nuove finalità solo in casi molto limitati e solo in modo compatibile con quelle iniziali.
Una determinata finalità, se è lecita, resta tale nel tempo. Il tempo stesso del trattamento è definito dal Titolare in funzione di quanto occorre per raggiungere le finalità dichiarate. Il Garante ha chiarito più volte che la tempistica del trattamento è definita dal titolare e che l’unica tempistica inaccettabile è quella indefinita o eterna.
Il D.d.I., tuttavia, ipotizza una trasmutazione, una transustanziazione della finalità, che cambierebbe dopo 21 giorni.
Il metadato scade e cambia, come lo yogurt.
I log del server di posta nascono come "strumento necessario per rendere la prestazione lavorativa" ma, al 22° giorno, si trasfigurano in un mostro a tre teste in grado di realizzare il controllo a distanza del lavoratore, perdono la loro funzione originaria, connessa alla prestazione lavorativa, introducendo una nuova finalità e modificando la propria natura al punto da ricadere in fattispecie normative differenti.
Stupefacente quanto innovativo, non si ha notizia di altre forme di transustanziazione del dato o della finalità.
Un altro elemento che non capisco è come possa il D.d.I stabilire questo cambio di finalità in modo collettivo. Volendo cercare una spiegazione razionale, si potrebbe pensare che il D.d.I stia cercando di parlare alla gran parte degli interpreti, stia cercando di guidare la maggioranza delle aziende o degli enti accomunati da situazioni simili. Se così fosse, mi aspetterei di vedere citato in premessa uno studio preliminare, una ampia casistica esaminata con criteri statistici in modo da definire un modello di riferimento: bisognerebbe definire quali sistemi di posta elettronica siano di moda tra enti della PA e aziende private. Purtroppo non c’è traccia di alcuna analisi statistica e ho la sensazione che il D.d.I faccia riferimento ad uno specifico caso che solo lui ha in mente, non dichiarato, magari riconducibile ad alcune specifiche istruttorie dalle caratteristiche particolari e non riscontrabili nella generalità dei Titolari.
Dogma del tempo
Non commento la scelta sul numero dei giorni, che siano poche ore, alcuni giorni, non oltre sette giorni, sette giorni più quarantotto ore o, in ultimo, ventuno giorni, non ha per me una grande rilevanza. Ciò che non comprendo è come si sia tornati all’antico approccio, tipico del legislatore giurassico, che detta tempi e numeri, laddove il GDPR prevede criteri moderni e flessibili, basati sul contesto e definiti dal Titolare.
Il tutto, con buona pace del principio di responsabilizzazione.
Il GDPR si rivolge al mondo moderno, fatto di persone capaci e responsabili, in grado di prendere decisioni necessarie.
Lo stesso GDPR prevede sanzioni per chi abusa del proprio ruolo e del proprio potere decisionale, ma non vieta quasi nulla in modo aprioristico e, certamente, non determina aspetti quantitativi, come siamo stati abituati a vedere dalla peggiore legislazione del passato.
Perché, dunque, ci troviamo ora a dover applicare un D.d.I che abbandona l’approccio qualitativo, tipico del GDPR, e torna all’approccio quantitativo, tipico della normativa previgente?
Ventuno giorni sono tantissimi per la maggior parte dei casi, ma sono palesemente insufficienti per tante altre situazioni particolari. Definire un termine indistintamente valido per tutti, rappresenta una scelta arbitraria a me incomprensibile, oltre che anacronistica e lontana dallo spirito e dalla logica del Regolamento.
Resta il fatto che il D.d.I ha una dichiarata funzione orientativa, ma ci sta dicendo di “andare a fare un giro in centro”. Vedremo cosa accadrà a chi, anziché assecondare questa velata preferenza, andrà in un'altra direzione.
Una buona notizia: un termine unico
Accantonando per un attimo il dogma del tempo, apprezzo comunque un elemento di chiarezza: nella revisione del D.d.I. scompare l’incertezza dovuta alla definizione possibilista della tempistica di conservazione, definita inizialmente in termini di poche ore, di alcuni giorni, ma tassativamente non oltre sette giorni, ma estensibili di ulteriori quarantotto ore.
La versione del 6 Giugno prevede un unico termine ampliato ad un massimo di ventuno giorni, non più un criterio possibilista e altalenante come nella versione precedente.
Non posso fare a meno di ripensare al titolo del mio precedente articolo dedicato al D.d.I: “Chi vusa püsé la vaca l'è sua”. Sposando la logica quantitativa, non capisco come possa il numero di giorni variare in modo così evidente. Se il termine iniziale di sette giorni è stato definito da una attenta e competente analisi, come può ora essere triplicato? Sulla base di quale criterio? Basta la segnalazione a posteriori dei portatori di interessi (gli stakeholder)? Che fine ha fatto la valutazione iniziale che ha dato origine al parametro numerico dei sette giorni? Quale fondamentale elemento è emerso ed ha modificato così profondamente la valutazione, tanto da richiedere di triplicare il valore e portarlo a ventuno giorni? Non capisco.
Un’altra buona notizia: il log dei log
Il D.d.I che, ricordiamolo, non desidera recare prescrizioni né introdurre nuovi adempimenti a carico dei Titolari, promuove, consiglia, invita caldamente… non saprei, forse pubblicizza una buona prassi: il log degli accessi ai log.
EUREKA. Effettivamente non è una novità e basta sfogliare le circolari INL sulla videosorveglianza per rendersi conto che il log degli accessi, conservato per 6 mesi, costituisce una misura prevista per l’autorizzazione all’installazione delle telecamere.
A maggior ragione è una misura utile per declassare e rendere accettabile il rischio di abuso per sistemi decisamente meno invasivi come i log di posta elettronica, sistemi che sotto i 21 giorni di conservazione, come descritto nel D.d.I , non sono nemmeno atti a consentire un controllo a distanza e sono quindi esclusi dagli obblighi autorizzativi.
Il log dei log ci riporta ad un approccio moderno e civile: “fai quello che vuoi, ma attento perché lasci tracce e se ti becco a fare stro***te, ti bastono con la mazza chiodata”.
Un altro grande assente si è palesato: l’informativa
La nuova versione del D.d.I richiama la necessità di fornire una “adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli”. Il Garante si riferisce all’informativa, da sempre obbligatoria.
A beneficio di chi è stoicamente riuscito a leggere fino a qui, condivido volentieri un estratto del modello di informativa che propongo alle aziende clienti e, in particolare, l’estratto della scheda relativa alla posta elettronica e ai sistemi di messaggistica.
La uso da anni, a conferma del fatto che il Garante non ha introdotto nuovi adempimenti.
Questa bozza deve essere adattata ai casi specifici, ridotta o ampliata a seconda delle particolarità dell’azienda di riferimento.
6 - Email, Webmail, Client di posta con archivio locale, Client di posta locali con archivio remoto, Client di posta online Sistemi di messaggistica istantanea o differita con caching Chat istantanee e persistenti, Chat, BBS, bacheche digitali di messaggistica. Sistemi di assistenza remota con e senza ticket di intervento. Ad integrazione di quanto sopra riportato, riferito a sistemi iidi di comunicazione integrata aventi anche funzionalità di messaggistica (es. client voip, facetime, hangout, skype, whatsapp, assistenza remota, social network, ecc.) |
MODALITÀ DI USO È fatto espresso e tassativo divieto di utilizzo dei mezzi di comunicazione aziendali per invio di email o messaggi aventi contenuti a carattere personale o non strettamente lavorativo. I sistemi di comunicazione via Email sono ampiamente utilizzati per le comunicazioni scritte e lo scambio file, sia all’interno che l’esterno dell’azienda. Le tecnologie adottate cambiano frequentemente e presentano caratteristiche con un grado crescente di evoluzione e funzionalità sempre più ampie ed integrate. Oltre al mero invio di comunicazioni scritte con allegati, i sistemi di posta elettronica sono atti a trattare ulteriori dati, non immediatamente visibili all’utente, quali geolocalizzazione, individuazione dei metadati di connessione o relativi al terminate e al sistema utilizzato, referenziazione temporale delle singole azioni (scrittura del messaggio, ricevimento del messaggio, lettura del messaggio), i server utilizzati, gli indirizzi IP e gli indirizzi MAC dei dispositivi utilizzati, ecc. Occorre sottolineare il fatto che ogni messaggio scambiato comporta la comunicazione di informazioni con un altro soggetto (duplicazione del dato su un archivio gestito da terzi), il transito anche in chiaro su sistemi intermedi gestiti da terzi (tipicamente fornitori di servizi di comunicazione), e l’impossibilità di richiamare il messaggio o i contenuti inviati. I sistemi di messaggistica istantanea o differita integrano le funzioni tipiche delle comunicazioni via email ma con caratteristiche di immediatezza e portabilità maggiori. Sono utilizzati in contesti ove la condivisione e la collaborazione delle informazioni sono prioritari. I trattamenti sopra descritti avvengono a livello di log dei differenti sistemi informativi interessati dal transito dei singoli messaggi. L’azienda ha un livello di visibilità molto limitato ma i fornitori di tali servizi, in veste di Titolari del trattamento, possono accedere ad ogni informazione e ne definiscono in via autonoma finalità e modalità di trattamento. Questi strumenti sono necessari al lavoratore per rendere la prestazione lavorativa, non esistendo la possibilità di adempiere alle proprie mansioni senza l’utilizzo dei sistemi sopra descritti. |
MODALITÀ DI EFFETTUAZIONE DEI CONTROLLI E ACCESSIBILITÀ DELLE INFORMAZIONI I controlli possono riguardare sia aspetti tecnici quantitativi che aspetti qualitativi e di contenuto. La natura collaborativa può comportare la conoscibilità dei messaggi inviati e ricevuti all’interno del gruppo di lavoro o da parte dei responsabili, dei sostituti e di ruoli aziendali funzionalmente collegati al proprio. I controlli possono riguardare anche la cronologia delle comunicazioni effettuate. I dati sono accessibili da parte delle funzioni tecniche che presidiano i sistemi informativi. Con riferimento a servizi cloud e in caso di assistenza tecnica specialistica il trattamento potrà avvenire in un paese terzo. |
FINALITÀ Recupero dati, ripristino file e archivi. Verifiche tecniche, gestione e prevenzione guasti o errori, assistenza informatica all’utente, ricondizionamento e riattribuzione anche temporanea degli strumenti informatici, tutela legale, controlli difensivi, auditing dei sistemi informativi e ottimizzazione risorse. Prevenzione, rilevazione, contrasto e indagine su data each. Finalità ed esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale. Business continuity e disaster recovery. |
DURATA I dati sopra indicati saranno trattati per un tempo non inferiore a 10 anni sia in adempimento di legge sia per specifica definizione della necessità organizzativa aziendale. Successivamente, i dati possono essere trattati solo per finalità obbligatorie per legge (archiviazione, conservazione) o per finalità di tutela legale e giudiziaria. I dati saranno conservati per 10 anni secondo le disposizioni civilistiche vigenti, in accordo con la disciplina fiscale e gli obblighi di documentazione amministrativa. I log dei sistemi informativi interessati sono accessibili all’azienda per il tempo stabilito dal fornitore. Il periodo di conservazione di tali log da parte dei fornitori o dei terzi coinvolti non è visibile al datore di lavoro. |
CODICE DI CONDOTTA E DISCIPLINARE È fatto espresso divieto di utilizzo di sistemi di messaggistica per attività aventi carattere personale o non strettamente lavorativo. Nell’uso dei sistemi di posta e messaggistica, ogni lavoratore deve mantenere un comportamento corretto, trasparente e leale. È fatto espresso divieto di permettere a colleghi o terzi l’utilizzo dei sistemi o degli account assegnati o di utilizzare sistemi e account altrui. È fatto espresso divieto di cancellazione o copia o inoltro non autorizzato dei dati, messaggi o conversazioni, allegati, archivi. Ogni abuso sarà sanzionato internamente a livello disciplinare e segnalato alle autorità competenti per l’accertamento degli eventuali reati associati ai singoli comportamenti. |
Sofismi e approssimazioni
Il (nuovo) punto 4.3 del D.d.I. fa riferimento a finalità di sicurezza informatica e tutela del patrimonio informativo e, in relazione ad esse, richiama la posizione del Garante:
- fino a ventuno giorni si rientra nell’esenzione poiché necessari per rendere la prestazione lavorativa
- oltre i ventuno giorni necessitano di autorizzazione ministeriale o accordo sindacale
- in ogni caso, la conservazione deve essere la più eve possibile
La mia serenità vacilla perché faccio fatica a conciliare questo passaggio con la parte precedente del documento. Le due finalità (sicurezza informatica e tutela del patrimonio) non sono riferibili ad una necessità operativa del lavoratore.
Ogni lavoratore ha bisogno della posta elettronica per attendere alle proprie mansioni, ricevere ed inviare informazioni. Questa è l’unica finalità del sistema di posta elettronica necessario al lavoratore e inscindibile dalla sua mansione.
La sicurezza informatica è attività differente, attribuita ad altre funzioni che, peraltro, potrebbero anche non essere presenti. Anche la tutela del patrimonio è una finalità ulteriore rispetto al singolo lavoratore dotato di posta elettronica. Sarà l’Ufficio del personale, quello legale o, al limite, il controllo di gestione ad occuparsi di eventuali aspetti di tutela del patrimonio, non il singolo lavoratore.
Nella maggior parte dei casi, le due finalità aggiuntive sono necessarie ad un lavoratore differente: l’amministratore di sistema, il CISO, il SOC e tutti quelli che ci lavorano.
In altri casi, le funzioni di sicurezza o tutela del patrimonio sono appaltate ad un fornitore, un soggetto esterno che agisce con livelli di autonomia notevoli.
Ma l'articolo 4, definendo l'esenzione dall'obbligo di autorizzazione, prevede che sia il singolo lavoratore ad avere la necessità di utilizzare determinati strumenti per erogare la propria prestazione lavorativa. Se lo strumento è necessario ad altri lavoratori, l'esenzione non si applica.
Dunque, come si può dire che queste due finalità siano necessarie per erogare la prestazione lavorativa e, per questo, godere dell’esenzione del comma 2 dell’articolo 4 dello Statuto dei Lavoratori?
Don Chisciotte della Mancia
Il punto 4.4 del (nuovo) D.d.I mi manda ai matti, letteralmente.
Senza aggiungere nuovi adempimenti, per carità, il Garante prescrive ai Titolari del trattamento di ACCERTARE che nei sistemi informativi di posta elettronica non siano presenti o siano disattivate funzioni incompatibili con le proprie finalità.
Non ce la faccio, non riesco a trovare una chiave di lettura costruttiva.
Ho l’impressione che il documento stia parlando in termini ideali, al mondo che si vorrebbe, ad un ipotetico stato di natura ideale dove tutto funziona come dovrebbe e come si vorrebbe… in questo scenario onirico mi sema di vedere unicorni saltellare su giganteschi arcobaleni di zucchero filato.
Nel mondo reale accertare questa circostanza non è possibile per due ragioni:
1 il fatto che che una funzione non sia accessibile all’azienda non significa che sia disattivata. Disattivare una funzione non significa nascondere un bottone o disabilitare l’accesso ad una pagina web. Se i dati continuano ad essere raccolti e conservati, il trattamento esiste. Secondo la logica dello stesso D.d.I., se il dato esiste, anche se non vi è alcuna intenzione di utilizzarlo per finalità deteriori, dovrebbe essere cancellato entro ventuno giorni (o autorizzato ai sensi dell’art. 4 dello Statuto). Qui si ammette candidamente l’esatto contrario: basta accertarsi che la funzione sia disattivata. Nel contesto di un servizio cloud, questa previsione, semplicemente, non ha senso. Il produttore del sistema (Gmail di Google, iCloud mail di Apple, Outlook di Microsoft, Protonmail, Legalmail, GMX, Libero, Yahoo, Virgilio, Aol, ecc.) o il provider che gestisce il server non modificherà il codice sorgente del software in modo da accontentare un singolo utente. Lo stesso fornitore che, ricordiamolo, per il Garante è un Responsabile del trattamento e deve sottostare alle indicazioni di ciascun cliente, su richiesta, dovrà rendere accessibili i dati al suo cliente. Se i dati esistono e se sono sotto la titolarità dell’azienda cliente, un provider che rifiutasse l’accesso, la consultazione, l'estrazione o l’esportazione dei dati dei log sarà immediatamente denunciato. Se i dati esistono, il rischio di monitoraggio esiste comunque perché la piena visibilità potrebbe arbitrariamente essere riattivata in ogni momento.
2 Chiedere al fornitore di anonimizzare i metadati raccolti non è possibile poiché il fornitore conserva i medesimi metadati per proprie finalità, di cui lo stesso fornitore è autonomo titolare. Il provider, semplicemente, non può accogliere una richiesta di anonimizzazione. Nel contesto di un servizio cloud, questa richiesta non ha senso.
3 la realtà è altra cosa: non si considera il fatto che i fornitori non si scomodano a rispondere ad una richiesta del genere nemmeno se inviata via PEC. Le domande in tal senso non vengono neanche prese in considerazione. È un fatto e non si può prescindere da esso.
Il petardo bagnato che sognava di essere una bomba atomica
La prima versione del D.d.I ha terrorizzato il mondo dei provider di posta. Forse per evitare la fuga delle imprese dall’Italia, i toni sono stati ammorbiditi ed è stata tesa una mano ai fornitori di servizi di posta.
Il nuovissimo paragrafo 4.4.1 si rivolge direttamente a chi disegna, configura e vende i prodotti per i quali le imprese saranno chiamate a rispondere.
Bisogna ammettere che la premessa del Garante qui trova piena applicazione: il D.d.I non prescrive assolutamente nulla.
I provider devono contribuire affinché i Titolari possano adempiere ai propri obblighi.
Non posso che richiamare le considerazioni appena esposte in relazione all’effettivo ruolo delle aziende rispetto alle caratteristiche e alla compliance dei prodotti che acquistano e utilizzano.
Anche nel successivo punto 5, il D.d.L ribadisce il medesimo principio:
“In particolare, spetta al titolare del trattamento verificare che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti - specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service - consentano al cliente (datore di lavoro) di rispettare la disciplina di protezione dei dati nei termini indicati nel presente documento di indirizzo, anche con riguardo al periodo di conservazione dei metadati secondo quanto indicato al par. 3.”
È interessante che sia stata cancellata la previsione successiva che, nella prima versione del testo, prescriveva ai Titolari del trattamento, alternativamente, di attivarsi per conseguire l’autorizzazione ministeriale/accordo sindacale necessario per il trattamento o, a scelta, di cessare l’utilizzo dei programmi che non presentassero le caratteristiche indicate dal Garante.
Molto interessante.
Lo spirito della norma
Non mi riferisco alla ratio o all'interpretazione autentica del testo e non ho la pretesa di intravedere l’essenza del provvedimento.
Intendo proprio lo "spirito" come distillato che, generalmente e auspicabilmente, è alcolico.
Dopo una bella pausa con un Campari Spritz, e dopo aver riconquistato la necessaria leggerezza, smetto di prendermi troppo sul serio, abbandono i castelli in aria, dimentico ogni astrusa perplessità e procedo.
Spetta al titolare verificare? Ottimo, preparo una bella PEC interlocutoria da mandare ai fornitori.
Non mi rispondono? Meglio, non devo né cambiare né raddrizzare le corna dei buoi. Sarà un problema loro qualora il Garante dovesse bussare alla porta.
Come da tradizione, condivido una bozza di letterina che ciascuno può usare come base per preparare la propria. Attenzione, è stata scritta dopo lo Spritz:
Spett.le FornitoreMalandrino,
Oggetto: DOCUMENTO DI INDIRIZZO su programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati.
Spett.le fornitore,
- con riferimento al provvedimento in oggetto e ai sistemi di posta elettronica da voi commercializzati ed in uso presso la scrivente
- richiamando le definizione e il campo di applicazione del provvedimento in oggetto
- con espresso riferimento ai soli metadati contenuti nei log dei sistemi di posta elettronica
- in considerazione del fatto che il suddetto provvedimento non introduce alcun nuovo adempimento od obbligo di legge e che, pertanto, i sistemi debbano già essere perfettamente allineati a quanto descritto dall’Autorità Garante per la Protezione dei Dati Personali
intendiamo con la presente ACCERTARE che siano disattivate le funzioni che non sono compatibili con le finalità del trattamento, come definite dal contratto di servizio e dettagliate nella lettera di nomina a Responsabile del trattamento.
Intendiamo inoltre ACCERTARE che non vi siano funzioni che si pongano in contrasto con specifiche norme di settore previste dall’ordinamento. A titolo di esempio, desideriamo accertare che i tempi di conservazione dei metadati siano commisurati adeguatamente e, comunque, non superiori a 21 giorni.
Qualora la conservazione dei metadati preveda una tempistica più lunga, vi chiediamo di anonimizzare i metadati raccolti al ventunesimo giorno di trattamento.
Cordiali saluti
Speriamo che l’ebezza dello Spritz mi accompagni per tutta la giornata perchè, ritornando soio, potrei non essere d’accordo con questa sintesi sgarzullina dell’intero provvedimento.
Prosit.