Tempo di lettura stimato: 10'
Nelle ultime settimane, fra consulenti, DPO e vari esperti di GDPR, si è parlato spesso del documento di indirizzo del Garante sulla conservazione dei metadati nella gestione delle e-mail dei dipendenti. Bene. Anzi, male, perché ho sentito di tutto: stampare le mail, cancellarle, criogenizzarle per 7 giorni e poi scongelarle quando ce n’è bisogno. Scherzo, ovviamente. O meglio, non scherzo quando dico che ho letto che la cosa si risolve stampando le mail...
Allora, vediamo di chiarire la questione, perché è evidente che non tutti sanno cosa siano i metadati e quindi non tutti hanno ben chiaro neanche come comportarsi di fronte alla loro gestione. Non solo, il documento di indirizzo del Garante si inserisce in un quadro più ampio, che è quello dello Statuto dei lavoratori. Quindi, ho pensato di interagire con l’Avvocato Barbara Sabellico, giuslavorista, esperta di GDPR e docente di Raise Academy, per approfondire l’argomento e anche quest’ultimo aspetto.
Ma prima di tutto volevo fare con te una considerazione e per farlo vorrei raccontarti una storia.
Il 23 di Gennaio del 2023 un Responsabile CED riceve una mail dall’amministratore delegato che recita: “Voglio entro questa sera la lista delle mail mandate e ricevute dal Responsabile Commerciale Antonio Vendetutto degli ultimi tre mesi perché ha dato le dimissioni.”
Il responsabile del Ced intimorito, ma nominato amministratore di sistema (forse), che ha installato e configurato il sistema di antispam americano che permette di tenere e visualizzare tutte le mail ricevute con spesso salvati anche data, mittente e contenuto… estrae i log e li invia all’amministratore delegato.
PAUSA
Questi comportamenti sono molto spesso (pure troppo) la prassi.
E non serve spiegare che senza un apparato documentale blindato, una definizione granitica dei comportamenti e del regolamento aziendale, delle informative e delle nomine perfette… e poi forse nemmeno basta… questi comportamenti NON POSSONO ESSERE MESSI IN ATTO.
Dati o metadati: è questo il problema?
Andrea Chiozzi: Barbara, mi pare ci sia un po’ di confusione in giro sull’oggetto “metadato”. Chi ha un passato IT sa di cosa stiamo parlando, ma molti professionisti del mondo legale no. Allora ti chiedo, puoi aiutarli a capire, da legale a legale, cosa si intende per metadato?
Avvocato Sabellico: Cosa sono i metadati? Sono informazioni legate a un documento informatico e servono per poterlo generare correttamente, per poterlo gestire o conservare o archiviare nel tempo. Il termine arriva dal greco e vuol dire "oltre il dato", quindi non è il dato, è qualcosa che va oltre. Questo perché? Perché il dato rappresenta l'informazione principale di una risorsa. Il metadato, invece, è l'informazione legata alla risorsa stessa, quindi le sue peculiarità e caratteristiche.
Metadato e dato sono diverse facce di una stessa medaglia. All'interno dei metadati abbiamo tante informazioni: nome del file, specifiche tecniche della versione del software, dell'hardware, data di creazione, accesso e ultima modifica, autore del documento… Sono tutte informazioni di base e le troviamo sempre. Poi esistono informazioni più complesse, che riguardano descrizioni, termini di rilascio, accesso, uso e oggetto. Chiaramente, affinché si parli di metadato, devono esserci dei "minimi sindacali" - oggetto, soggetto produttore, data di chiusura, identificativo, destinatario - che servono per associare il documento a queste informazioni. Poi, una volta che il documento si è formato, avrà una sua vita.
Come succede per il cartaceo, che viene gestito da diverse persone, con diverse modalità, così, anche il documento digitale può essere gestito da diversi sistemi e software.
I metadati coprono queste 3 grandi macroaree: struttura, contenuto, gestione del tempo e delle risorse che abbiamo generato.
Il metadato può essere utilizzato dappertutto e associato a qualsiasi tipo di risorsa: digitale, fisica o astratta. Per esempio, i metadati possono descrivere dati relativi a libri, siti web, luoghi, opere astratte... Ma possono indicare anche gli eventuali accessi a un sito web, a una biblioteca multimediale…
Andrea Chiozzi: O anche a “robe astratte” come gli NFT, i non fungible token, cioè i certificati di proprietà relativi a opere digitali.
Avvocato Sabellico: Esatto. Tutto ciò che può essere generato digitalmente, porta questa impronta digitale che è il metadato, che è molto importante perché aiuta a cercare più facilmente un file, può permettere - all'interno di una biblioteca multimediale - di selezionare i documenti che ci interessano oppure no. Rende facile l’interoperabilità semantica, perché nel metadato posso inserire una serie di informazioni, per cui la ricerca diventa più semplice. Mi aiuta anche ad organizzare meglio i file e le informazioni che ho, attraverso la sua gestione. E poi a sapere esattamente dove è disponibile quell'informazione. Un aspetto molto importante per quanto riguarda il GDPR.
3 categorie di metadati
Avvocato Sabellico: Esistono 3 grandi macroaree:
1) Metadati descrittivi
Sono quelli che identificano di un file: titolo, autore, anno e luogo di pubblicazione. A cosa servono? Servono a identificare e a recuperare i documenti.
2) Metadati amministrativi e gestionali
Ci danno l'informazione relativa alla modalità di archiviazione e alla possibilità di accedere all’oggetto digitale, alle licenze, ai diritti e agli utenti proprietari. Quindi ci permettono di localizzare esattamente dove si trova la risorsa e individuare le eventuali relazioni che ci sono tra autori diversi, sia nel tempo che per tipologia di autore.
3) Metadati strutturali
I metadati strutturali rappresentano la struttura della risorsa digitale e la relazione tra le parti che la compongono. Per esempio, in un file, indicano il numero di capitoli, la lunghezza, le sezioni, la finalità.
Il metadato che possiamo incontrare nella rete, quello che possiamo incontrare nelle e-mail e quello che troviamo sul web sono diversi.
I metadati delle e-mail non sono solo quello che scrivi nella mail…
Andrea Chiozzi: Quali metadati si generano quando invio o ricevo una mail? Spieghiamolo semplice semplice.
Avvocato Sabellico: Il metadato di una mail contiene 2 elementi fondamentali, esattamente come la raccomandata che spediamo in posta:
1) Il corpo dell'e-mail
Contiene il messaggio vero e proprio, cioè quello che diciamo se ci arriva una mail da un soggetto.
2) L'header dell'e-mail
Contiene gli indirizzi del mittente e dei destinatari, ma può contenere anche molti altri metadati, come le marche temporali: quando è stata spedita e ricevuta la mail, il flag che ci avvisa se è stata lavorata dal server o se è stata letta dal destinatario. Poi può contenere altre informazioni, legate a ciò che compie la mail durante la trasmissione: nei grandi sistemi aziendali, per esempio, il filtro antispam, nel caso la mail sia stata letta da un antivirus.
Andrea Chiozzi: Chiarissimo. Quindi, una cosa è quello che Peppino scrive nella mail e un’altra è la data di invio, la data di ricezione, il filtro antispam e quant’altro. Bene. Ecco perché, quando ho letto in giro che si parlava addirittura di stampare le mail mi sono detto: fermi tutti. Bisogna capire quali sono le linee del campo da gioco, perché il Garante ha specificato “metadati delle e-mail”. Quando è uscito il documento: apriti cielo! Tutti in agitazione…
Avvocato Sabellico: Infatti, oggi ci troviamo a parlare di quello che è sembrato un provvedimento deflagrante.
Perché il Garante ha pubblicato il documento di indirizzo?
Avvocato Sabellico: Pochi mesi fa, nel dicembre del 2023, il Garante ha emesso un documento di indirizzo in cui stabiliva una serie di prescrizioni, per dire ai datori di lavoro privati e pubblici di verificare che i programmi e i servizi informatici di gestione della posta elettronica usati dai dipendenti - soprattutto se si trattava di prodotti di mercato in cloud o as-a-service - consentissero di modificare le impostazioni di base.
L'obiettivo del Garante era dare come indicazione di vietare la raccolta sistematica dei metadati - e quindi non delle e-mail - limitando il loro periodo di conservazione a un massimo di 7 giorni. E in caso di comprovate esigenze, di prorogarla. Significa che, secondo il Garante, il termine di 9 giorni per la conservazione dei metadati è sufficiente.
Andrea Chiozzi: E qui entrano in gioco il GDPR e lo Statuto dei lavoratori…
Avvocato Sabellico: Esatto. Il documento dice: ove il titolare del trattamento ritenga di aver necessità diverse - e quindi un tempo di conservazione maggiore -, deve necessariamente passare attraverso tutte le tutele previste dal GDPR, ma soprattutto attraverso lo Statuto dei lavoratori. Quindi, da una prima lettura, sembra che il Garante dica: per i metadati, se conservi per 7 giorni, sei a posto, se ti servono più di 7 giorni (e quindi vuoi arrivare a 9), devi passare attraverso la consultazione sindacale e l'applicazione della norma per il GDPR. Quindi il passaggio dai 9 giorni in su, in qualche maniera, dà dignità al fatto che il Garante – anche se non lo scrive in maniera diretta - dice: non parliamo più di metadati ma di controllo a distanza dei lavoratori, e a quel punto finisci sotto la scure dell'articolo 4 comma 1 dello Statuto dei lavoratori. Questo implica o l'autorizzazione dell'Ispettorato del lavoro o l'autorizzazione da parte dei sindacati interni. Quindi i punti chiave del documento sono due: 1) accountability; 2) statuto dei lavoratori.
Da dove nasce il documento di indirizzo del Garante?
Avvocato Sabellico: Il documento di indirizzo nasce dalla sanzione del Garante alla Regione Lazio: “No al controllo dei metadati della posta elettronica dei dipendenti senza adeguate tutele per la riservatezza e in violazione delle norme che limitano il controllo a distanza dei lavoratori”. Cosa contestava il Garante alla regione? Contestava che l'informativa - o comunque il trattamento che il titolare aveva scelto – prevedesse di conservare le informazioni per 180 giorni, per generiche finalità di sicurezza.
In sostanza, col provvedimento, il Garante ha voluto dire: “Cara Regione Lazio, se tu mi dici che per la sicurezza aziendale hai bisogno di tutto questo tempo, io ti dimostro dopo 2 secondi che non è così. Se conservi le informazioni per un potenziale attacco informatico, allora spiegami perché devi tenerle per 180 giorni. Non ha senso. Ti basta tenere le informazioni strettamente necessarie per riuscire a capire che cos’è successo. Oltre, non ha senso che tu le abbia.” E questo è un aspetto…
Andrea Chiozzi: Poi c’è quello degli strumenti che usi e con chi hai stipulato il contratto per la gestione del servizio mail.
Avvocato Sabellico: Esatto. Come si gestisce la conservazione sul lato pratico? Un conto è utilizzare il servizio cloud del vicino di casa, assolutamente virtuoso, ma come gestisco - io piccolo titolare del trattamento - il confronto contrattuale con i grandi Big (Google, Microsoft, Apple…)? Come faccio a essere sicuro di sapere da loro che posso incidere sui tempi di conservazione dei metadati? Quindi ci troviamo di fronte a due situazioni: da un lato, le eccezioni corrette del Garante quando dice: “Caro titolare del trattamento, se mi dici che queste informazioni le usi per motivi di sicurezza, io ti dimostro che per sicurezza non c'è bisogno di 180 giorni. Se li vuoi per 180 giorni li stai utilizzando per altro e allora bisogna che ne parliamo”. Dall’altro, la legittima perplessità delle aziende che, invece, dicono: “Ci parla il Garante con Microsoft, Google eccetera, per capire effettivamente come posso andare a decidere i tempi di conservazione? E soprattutto: di che stiamo discutendo? Di dato o di metadato? Perché, se discutiamo di metadato, dobbiamo chiederci: si parla o non si parla di GDPR?”
Le questioni in piedi sono diverse. Ecco perché il Garante, il 6 febbraio, ha emesso una comunicazione per dire: “Preso atto di tutte le indicazioni o eccezioni che si stanno sollevando in questo momento, procrastiniamo il documento di indirizzo e apriamo una consultazione pubblica in materia di programmi e servizi informatici di gestione della posta elettronica." Il 22 di febbraio si è aperta ufficialmente la consultazione.
Consultazione che nasce perché, di fronte a un documento nato in virtù di questioni che non sono solo squisitamente giuridiche - probabilmente emesso con una certa velocità – si sono toccate tutta una serie di argomentazioni che i vari titolari del trattamento hanno legittimamente posto all'ufficio del Garante, tale per cui il Garante stesso ha deciso di "sospendere" l'efficacia di questo documento di indirizzo per capire quello che succederà.
Molto rumore per nulla…
Andrea Chiozzi: Sei d’accordo con me nel dire che il polverone uscito dal provvedimento è eccessivo?
Avvocato Sabellico: Di fatto mi permetto di dire: molto rumore per nulla. Quello che si sta generando sull'argomento "metadati" è solo una gran confusione. Il Garante ha puntualizzato che, se la finalità per la conservazione è generica, devi essere in grado di giustificare la ragione per cui vai oltre un tempo ragionevole e sul perché conservi quel tipo di informazione. Altrimenti è inutile. E se il provider non riesce a darti la certezza dei tempi di conservazione, dal punto di vista dell’accountability, hai fatto una scelta sbagliata.
Peraltro, PrivacyLab ha tutta una serie di strumenti, compresa Lince, che ti mette nelle condizioni di verificare tutto questo. Non sono particolarmente preoccupata né di questa linea di indirizzo, né di quello che succederà dopo la consultazione pubblica del Garante. Ciò di cui sono preoccupata è che, ancora oggi, ci sono informative fatte a caso…
Andrea Chiozzi: Ah, beh. Se non sei in grado di dare evidenza delle tue scelte, del perché le hai fatte e del come…
Avvocato Sabellico: Quando manca l'esattezza dell'informazione il Garante ti sanziona al di là del fatto che tu abbia scritto 180 giorni o anche solo 24 ore. Perché ricordiamoci che, in questo caso, al di là dei tempi di conservazione indicati dalla Regione Lazio, rimane un punto fondamentale. Alla domanda del Garante: che intendi per "sicurezza informatica?"
Se non sai come giustificare la tua scelta. Fine. Ti sanziona.
Questo era solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
