Il documento di indirizzo del Garante, benché di non difficile interpretazione, lascia alcuni dubbi. Un dubbio è se era strettamente necessario oggi questa stringente indicazione dopo oltre un anno dall’ordinanza di ingiunzione adottata nei confronti della Regione Lazio.
Cosa sono i metadati per la posta elettronica
I metadati altro non sono che dati strumentali al funzionamento del sistema “posta elettronica” che hanno senso, non solo per l’infrastruttura di gestione della mail e della sua sicurezza, ma anche per la comprensione completa del contesto, contenuto ed i suoi allegati. Una lettera priva del suo mittente, senza un francobollo timbrato con una data, si trasforma in una carta ricordo. Non sarebbe neppure accettata in tribunale. E sarebbe anche difficile da reperire in un archivio tra tante carte simili. È come passare da un database relazionale, in cui è facile eseguire ricerche, ad un insieme di file testo non indicizzati dopo pochi giorni.
I metadati, che sono quei dati ancillari che insieme al contenuto della posta ci permettono di ottenere informazioni complete, viaggiano nella rete insieme a (meta)dati correlati agli individui, dipendenti o interessati secondo il GDPR, e possono essere ricavati dai diversi log di sistema. Da un lato non è previsto un controllo generalizzato su un dipendente perché le analisi sono effettuate da amministratori di sistema nominati e noti che devono fornire garanzie né può il datore chiedere controlli “di nascosto”. Il precedente provvedimento del Garante sugli amministratori di sistema (1) e sui log persistenti è una utile e civile salvaguardia dei diritti e della dignità del lavoratore. In un momento storico in cui le aggressioni tra nazioni usano la rete (e il sistema mail ne è parte), cancellare dopo un tempo fissato a priori le tracce dell’aggressore non sembrano una strategia. Da considerare poi per il PSN (il Polo Strategico Nazionale ovvero il “Cloud sicuro per l’Italia digitale”) si può avere l’obbligo di mantenere i log anche per tempi suoperiori a 24 mesi e che l’ACN sta facendo di tutto per irrobustire il nostro cyberspazio a fini difensivi. E di più, il non rispetto di alcune caratteristiche sulla difesa della rete comportano rischi sul recepimento dei fondi in progetti PNRR.
Analisi del documento d’indirizzo del Garante Privacy
Si obietterà che basta solo un passaggio per l’Ispettorato del Lavoro o un accordo sindacale – perché il riferimento normativo è diventato l’art. 4.1 dello Statuto dei Lavoratori. Posto che il “sistema posta” nel suo complesso sarebbe da considerare “strumento di lavoro” e non la sola carta senza busta e senza intestazioni, fatta la legge l’escamotage della base giuridica diventa la permanenza del tutto “per possibili motivi difensivi”. La mail non è del solo datore di lavoro, che ricordiamolo non è titolare del trattamento, ma ha deleghe del CdA. Per la P.A., ad esempio, e per gli enti di ricerca sicuramente, è il presidente, dotato di legale rappresentanza, che assume la figura di titolare (anche in giudizio), il datore di lavoro è un particolare soggetto designato e autorizzato che funge al limite da referente del titolare (giacché la titolarità non è possibile né cederla né delegarla). Il dipendente che usi la posta come strumento di lavoro non può non avere interesse a mantenerla integra (e qui un possibile errore di interpretazione: posta integra è corpo e metadati, la lettera completa in un archivio comunque gestibile anche in ricerca – sempre) per almeno cinque anni, termine in cui si attiva la prescrizione amministrativa, dal momento che non la usa per sé ma per l’azienda. Quando un dipendente fosse sottoposto a procedimento disciplinare oppure quando fosse oggetto di causa penale, perché la responsabilità resta personale, non può non mantenere la “posta” almeno sette anni e mezzo. Ispettorato del Lavoro e parti sindacali non possono non tenere conto della cura della salvaguardia della difesa del dipendente; quindi, diventa solo uno sterile proforma con dati che tanto “restano lì per lungo tempo”. E negli stessi due casi sopra esposti, anche il datore di lavoro ha le stesse necessità difensive. Nessuno sa a priori cosa può accadere dopo soli sette giorni estensibili di 48 ore (un procedimento disciplinare richiede quasi un mese, una querela tre mesi dal fatto o dal giorno in cui l’offeso ne ha avuto notizia e non si possono cancellare dati e metadati per almeno il tempo di possibile prescrizione e se il dipendente non accetta la prescrizione, si superano anche i sette anni e mezzo). Tanto valeva definire come tempo, un tempo massimo di “prescrizione” decennale. Nulla vale l’obiezione di mantenere la posta una settimana o nove giorni, usare un client e, per non perderla in caso di crash, quindi farne dei backup periodici. I backup se restano nel perimetro di interesse della azienda e dunque del datore, diventano “metadati” sicuramente ancora più facilmente accessibili. Il risultato immediato è che il backup sarebbe sotto la responsabilità e costi del dipendente, e andrebbe necessariamente al di fuori dall’azienda. La valutazione importante, cogente, è invece sul potenziale controllo abusivo del datore di lavoro non nella stazionarietà giornaliera o pluriannuale dei log (perché i metadati, ripetiamolo, sono dati che fluiscono nel sistema rete e sono necessari per la sicurezza dell’azienda, dei dipendenti e del titolare). Inoltre, è lo stesso dipendente che ha interesse finché lavora nella società a decidere quanto tempo mantenere i suoi propri dati, perché senza le informazioni strumentali, avrebbe difficoltà a fare ricerche. Che il datore sia considerato “cliente” del gestore di posta è una parziale verità perché firma in quanto delegato e sia lui che i dipendenti sono i veri fruitori del sistema posta (ancora, considerata nel suo complesso).
“La lettura italiana complica e rende la privacy sempre più un ulteriore peso per le aziende e confessiamolo, antipatico legaccio”
Un altro punto sensibile da evidenziare ha epicentro nel Regolamento che trapassa i paesi dell’Unione e non ambiva a questa riduzione bensì a facilitare la gestione dei dati personali. Oggi una azienda di un paese comunitario con il suo contratto in cloud presente in Italia, si trova a dover forzare la sua propria policy. Il GDPR è uno strumento moderno, agile che si muove per principi, e che si basa sulla responsabilizzazione critica del titolare da cui riprende l’accountability, e nasce nel mondo della Common Law, il diritto anglosassone. Il diritto italiano, della Civil Law è molto più stringente, prescrittivo, decisamente meno agile per l’ipertrofia di norme che si stratificano, caratteristica del tutto italiana, spesso in contrasto o di difficile immediata interpretazione, col risultato purtroppo di rafforzare la burocrazia. Abbiamo perso l’accountabilty per seguire un rito tutto nostro, un ulteriore accordo, dove fissare un limite, comunque, per legge che limita la libertà consapevole del titolare, quando il problema era nel controllo del datore e dei suoi potenziali abusi (che l’accordo ovviamente non limiterebbe).
Forse, visto l’accordo di collaborazione tra Garante e ACN, una interlocuzione preventiva era auspicabile. Ma era auspicabile anche un passaggio con le associazioni di categoria se non addirittura col Parlamento o almeno col Ministero del Lavoro. Il DPO che si muove in Europa non vede più un solo Regolamento. Il GDPR, versione europea, tendeva a semplificare. La lettura italiana complica e rende la c.d. “privacy” sempre più un ulteriore peso per le aziende e confessiamolo, antipatico legaccio.
Invito chi dubbi non ne ha avuti a rileggere il documento di indirizzo e la forzatura del tempo di conservazione strettamente fissato ma anche “allungabile” con la definizione di accountability che ne dava A. Punzi nel 2018, quando le speranze del Regolamento erano ben altre:
Principio che introduce una sorta di rivoluzione copernicana nella legislazione europea di settore, segnando il passaggio da un modello prescrittivo e formalistico ad un modello di responsabilità – rendiconto e di sostanziale protezione dei dati. Si abbandona, così, una tecnica di regolazione delle condotte basata sull’elencazione dettagliata delle prescrizioni per il trattamento e sulla determinazione delle relative sanzioni di una individuazione del bene da proteggere, dello scopo da perseguire, della tutela dei dati da garantire. Ecco il passaggio al principio responsabilità: spetta al titolare del trattamento il compito di individuare modalità, garanzie e limiti del trattamento dei dati in coerenza con i princìpi e le disposizioni del regolamento. Il titolare, dunque, anziché conformarsi ad una serie di regole imposte dall’esterno (e il cui rispetto formalistico non è detto che garantisca la tutela effettiva del dato), deve adottare una condotta proattiva, idonea a dar prova in concreto (rendicontare) delle misure giuridiche, organizzative, tecniche adottate al fine di assicurare una piena attuazione del Regolamento.
(1) Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – 27 novembre 2008 (modificato in base al provvedimento del 25 giugno 2009).
(2) Punzi A., (2018). L’adeguamento della disciplina sulla protezione dei dati personali al Regolamento (UE) 2016/679. In Le posizioni espresse dagli auditi. Documentazione per l’esame di Atti del Governo pubblicato da Servizio Studi del Senato della Repubblica Dossier n. 18/1 e da Camera dei deputati Dip. Giustizia Atti di Governo n. 22/1.
L’autore:
Lucio Badiali, Ph.D.
DPO di INGV – Istituto Nazionale di Geofisica e Vulcanologia
DPO della Infrastruttura di Ricerca europea EPOS – European Plate Observing System, costituita da 26 Paesi membri e Representing Entities.
Laurea in Fisica specializzazione in cibernetica e dottorato.
Laurea in Scienze politiche e Master di II livello Giurisprudenza in protezione dei dati personali e privacy.
