Conservazione dei metadati di posta elettronica negli ambiti di lavoro: Procedamus contribuisce alla consultazione pubblica indetta dal Garante privacy
La Comunità professionale di Procedamus, progetto di formazione-intervento dedicato alle università e agli enti di ricerca, ha realizzato un documento come contributo alla Consultazione pubblica indetta dal Garante per la protezione dei dati personali per raccogliere osservazioni e proposte di modifica del documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”.
Con il documento di indirizzo, rivolto ai datori di lavoro pubblici e privati, e a chi per conto loro ha responsabilità in materia di protezione dei dati, a fine 2023 il Garante aveva stabilito che, per prevenire rischi di “monitoraggio sistematico” dei dipendenti, l’attività di raccolta e conservazione dei metadati degli account dei servizi di posta elettronica dei lavoratori (giorno, ora, mittente, destinatario, oggetto, dimensione dell’e-mail), non poteva superare un periodo massimo di 7 giorni, differibile di ulteriori 48 ore in presenza di alcune condizioni particolari.
La consultazione pubblica sul documento di indirizzo era stata lanciata nelle settimane successive, proprio con il particolare intento di raccogliere osservazioni sulla congruità del termine massimo di conservazione dei metadati, in risposta a svariati commenti e osservazioni critiche espressi da esperti e portatori di interesse.
Il contributo di Procedamus si inserisce in questo contesto ed è stato elaborato da un gruppo di lavoro istituito per l’occasione, composto da archivisti, diplomatisti, giuristi e informatici, dopo l’organizzazione di un webinar lo scorso 29 febbraio.
Le osservazioni sono suddivide in tre parti, dedicate rispettivamente ai problemi di natura giuridica, alle criticità relative alla conservazione digitale e agli aspetti tecnici, tecnologici e informatici, seguite da una conclusione che riassume i punti salienti del documento. Si riportano di seguito le osservazioni riguardanti le criticità relative alla conservazione digitale, rimandando alla lettura integrale del documento sul blog Filodiritto.
Qualora l’interpretazione della cancellazione dei metadati dovesse essere estesa a tutti i metadati che contengono le informazioni inerenti a mittente, oggetto, etc., si evidenziano alcune problematiche che si potrebbero presentare in assenza di metadati:
- impossibilità di comprendere il contesto della singola email: a chi è stata inviata? In quale data ed in quale orario? Qual era l’oggetto? Con conseguenze ben immaginabili, ad esempio, in caso di contenzioso, come sopra indicato;
- impossibilità di effettuare ricerche nell’archivio di posta elettronica con una profondità superiore a 7 (+2) giorni;
- impossibilità di verificare l’autenticità del messaggio (soprattutto se la cancellazione dei metadati riguarda anche quelli di servizio);
- impossibilità di portare in conservazione messaggi di posta elettronica, vista l’obbligatorietà della presenza dei metadati prevista dall’Allegato 5 alle Linee guida AgID sulla formazione, gestione e conservazione dei documenti informatici;
- estrema facilità di creazione di email false (che potrebbero essere utilizzate, ad esempio, in caso di contenziosi o controlli da parte delle Autorità) senza alcuna possibilità di verifica;
- aumento smisurato dei costi relativi alla gestione della posta elettronica: email che non si trovano più, impossibilità di recuperare «prove» in caso di contenzioso, difficoltà nel documentare fatti e circostanze, etc.;
- impossibilità di conservazione di archivi di posta elettronica di personaggi illustri/famosi, con gravissimo danno per la futura ricerca storica e la memoria del Paese.
(...) Inoltre, si osserva che, se l’obiettivo del provvedimento è quello di evitare forme di controllo sui lavoratori dipendenti, allora le stesse misure dovrebbero essere applicate all’utilizzo dei browser per la navigazione in rete, dei software di office automation, dei sistemi di messaggistica aziendali (es: Microsoft Teams, Google Meet, etc.) e agli altri sistemi ad accesso autenticato che il dipendente è tenuto ad utilizzare per lo svolgimento delle sue mansioni.
Un approccio “rigido” appare minare quel rapporto fiduciario tra le parti, che è una componente essenziale del benessere del lavoratore e che potrebbe essere garantito da altri strumenti offerti dalla normativa. Tra questi, ad esempio, l’adesione ad un codice di condotta utile per “calibrare gli obblighi dei titolari del trattamento e dei responsabili del trattamento, tenuto conto del potenziale rischio del trattamento per i diritti e le libertà delle persone fisiche” (C98 GDPR), anche basato sul Codice di condotta dell’Ufficio Internazionale del Lavoro ILO sulla protezione dei dati personali dei lavoratori del 1997.