Come garantire la conformità alle linee guida del Garante della privacy per la gestione dei "metadati" della posta elettronica? "Semplice", stampando le e-mail e cancellandole dal server.
Questo consiglio, sebbene paradossale, è il fulcro delle ultime indicazioni del garante della privacy sulla conservazione dei metadati delle e-mail dei dipendenti, che sta creando una certa confusione nelle aziende italiane, e di conseguenza, nei Service Provider che offrono servizi Cloud.
Vediamo insieme cosa prevederebbero le nuove linee di indirizzo, le conseguenze che ne deriverebbero ed i primi passi indietro da parte dell’autorità.
Quali sono le nuove direttive del garante per i metadati? E il loro impatto?
Il Garante Privacy, lo scorso 6 febbraio, ha pubblicato un provvedimento in cui fornisce un’indicazione destinata ad avere un effetto dirompente nei sistemi di posta elettronica aziendale: i datori di lavoro possono conservare per un periodo massimo di 7 giorni (estensibili al massimo per 48 ore) i metadati delle e-mail dei dipendenti, fatto salvo alcuni casi legati ad accordi particolari.
Questo provvedimento, fissa dei limiti molto restrittivi per la gestione elettronica dei lavoratori, soprattutto in modalità Cloud, che comportano diverse conseguenze.
Il punto infatti è che la direttiva del Garante fa riferimento ai metadati, cioè ad informazioni “sensibili” a corredo delle e-mail, come ad esempio mittente e destinatario, data e orario di invio, Indirizzo IP del mittente e del server di trasmissione ecc. Tutti dati che il Garante reputa oggetto di riservatezza, e pertanto da non conservare oltre un certo lasso di tempo, che deve ridursi al minimo.
Il motivo? In sintesi, la raccolta e la conservazione delle informazioni a corredo relativa alle e-mail non rientrerebbero nella definizione di “strumento di lavoro”, con cui viene definito “ogni strumento utilizzato dal lavoratore per rendere la prestazione lavorativa”.
In pratica, il Garante, con questo provvedimento, ritiene che le e-mail siano strumento di lavoro solamente per sette giorni.
Una motivazione che ha generato un dibattito acceso e che rischia di creare problemi gestionali e organizzativi. Senza metadati è praticamente impossibile indicizzare e organizzare le e-mail: questi ci dicono data, ora, mittente, destinatario, oggetto e dimensione dei messaggi, insomma tutte le informazioni utili per rintracciare un’e-mail.
Se, entro una settimana, tutte le informazioni di identificazione fossero rimosse, le e-mail perderebbero completamente il loro contesto. Come potrebbe un'azienda gestire dispute legali, ricostruire progetti o semplicemente mantenere le operazioni quotidiane se la sua memoria fosse limitata a soli sette giorni?
Il garante è aperto all’ascolto
Per tutti questi motivi, il Garante ha preferito venire incontro alle aziende e a noi Service Provider in due modalità principali.
La prima consiste in una consultazione pubblica relativa proprio ai termini di conservazione dei metadati degli account dei servizi di posta elettronica dei lavoratori. Grazie a questa modalità, tutti i datori di lavoro, sia pubblici che privati, insieme agli esperti della protezione dei dati e altri soggetti interessati, sono invitati a contribuire inviando al Garante osservazioni, commenti, informazioni e proposte.
La seconda invece stabilisce di “differire l’efficacia del documento di indirizzo”. Ciò significa che fino a quando non saranno state raccolte le opinioni, per massimo di 90 giorni, i datori e i Cloud & Service Provider dove sono collocate le e-mail aziendali non dovranno apportare modifiche alle politiche di conservazione.
Anche se ad oggi il problema non è risolto e sembra un passo indietro rispetto al resto d’Europa, il Garante, con questi due passi, dimostra di voler lasciare spazio all’ascolto di soluzioni condivise e al dialogo.