Emanato un documento di indirizzo sulla conservazione dei metadati – Newsletter n. 517 del 6 febbraio 2024

Il documento nasce a seguito di accertamenti effettuati dall’Autorità dai quali è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email). In alcuni casi è emerso anche che i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione.

Quali sono le indicazioni operative per i datori di lavoro?

Con questo nuovo documento, il Garante chiede quindi ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione ad un massimo di 7 giorni, estensibili – in presenza di comprovate esigenze – di ulteriori 48 ore. Periodo considerato congruo, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore.

I datori di lavoro che per esigenze organizzative e produttive o di tutela del patrimonio informativo del titolare (in particolare, ad esempio, per specifiche esigenze di sicurezza dei sistemi) avessero necessità di trattare i metadati per un periodo di tempo più esteso, dovranno espletare le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro). L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore.

GDPR – Provvedimento del 22 febbraio 2024 [9987885]

Quali sono le principali criticità emerse?

Sono diversi i problemi che nascono nel rispettare i termini di conservazione dei metadati associati alle e-mail che, oltre a rendere impossibili eventuali indagini investigative di sicurezza informatica, renderebbero difficoltoso o impossibile ricercare una e-mail dopo mesi, o addirittura anni, dal giorno in cui è stata ricevuta.

Un primo elemento critico presente nel documento citato, riguarda la definizione di metadato, in quanto non si distingue tra metadati associati all’account di posta elettronica in uso ai dipendenti e metadati associati al messaggio (e-mail).

Per precisione, alcuni metadati associati agli account di posta sono:

  • indirizzo IP di collegamento al server di posta;
  • data e ora di collegamento, di invio di un messaggio, di scaricamento dei messaggi e di ogni altra operazione che genera righe di log;
  • client utilizzato e suoi dati specifici, programma, versione;
  • data ed ora del login;

  • data, ora e frequenza dei download;

  • data e ora dei collegamenti per l’upload;

In caso di interfacce web (ovvero webmail) di accesso, i dati in questione corrispondono a quelli registrati dal fornitore e corrispondono ai dati registrati durante una navigazione web qualsiasi:

  • indirizzo IP (già visto);
  • browser utilizzato;
  • dati del sistema operativo, dell’hardware, dimensioni del monitor, stato della batteria e tutti quei dati che il browser scambia con il sito web o con il portale di accesso alla posta tramite web;
  • cookie letti e scritti.

Si intuisce facilmente che tutti questi metadati sono ben diversi da quelli associati all’email e vengono conservati dai provider di servizi in cloud (tra cui la posta elettronica) in log di archivio, in quanto fondamentali per garantire la corretta trasmissione del messaggio al destinatario oltre ad essere necessari per l’analisi forense e accertare possibili incidenti di sicurezza delle informazioni oppure violazioni dei dati personali, risultando indispensabili per motivare la comunicazione di avvenuto data breach all’Autorità e, nei casi più gravi, a tutti i soggetti interessati i cui dati sono stati violati.

Inoltre, il documento di indirizzo specifica che il trattamento dei metadati, oltre il periodo di conservazione stabilito, è lecito solo dopo averne espletato l’art. 4 dello Statuto del lavoratore, chiedendo l’autorizzazione all’ispettorato del lavoro o alle rappresentanze sindacali interne, salvo che lo strumento sia utilizzato dal lavoratore per rendere la prestazione lavorativa tale per cui l’autorizzazione, nel rispetto della riservatezza del lavoratore e obblighi dettati dal GDPR, non è necessaria.

Infatti, proprio su questa deroga, dove la posta elettronica diventa uno strumento necessario per svolgere la prestazione lavorativa, l’autorizzazione non dovrebbe essere dovuta.

Infine, il documento non fa distinzione tra le diverse tipologie di caselle di posta elettronica per cui, su talune tipologie, i vincoli da ottemperare potrebbero decadere. Ad esempio, se da un lato le mail associate direttamente alla persona rientrerebbero in pieno nell’applicazione del documento di indirizzo, dall’altro per le mail associate ad un ufficio o reparto, per cui l’accesso è consentito a diverse persone (quali ad esempio produzione@domino_azienda.it, marketing@dominio_azienda.it, commerciale@dominio_azienda.it), o ancora di più mail istituzionali (es. info@dominio_azienda.it) si possono esprimere delle perplessità ad applicare le disposizioni del documento.

Ci saranno ulteriori sviluppi?

Essendo questi dubbi condivisi da vari professionisti del settore, il consiglio è quello di attendere delucidazioni da parte dell’Autorità, nella speranza che in tempi brevi vengano comunicate soluzioni meno onerose per la conservazione legittima dei metadati associati agli account di posta elettronica e dei singoli messaggi.

Infatti, l’Autorità di controllo, in questi giorni, ha avviato una consultazione pubblica sul termine di conservazione dei metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica, il cui obiettivo è quello di acquisire osservazioni e proposte riguardo alla congruità, in relazione alle finalità perseguite dai datori di lavori pubblici e privati, del termine di conservazione dei metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica e relativi alle operazioni di invio, ricezione e smistamento dei messaggi di posta elettronica e, più in generale alle forme e modalità di utilizzo di tali metadati che ne renderebbero necessaria una conservazione superiore a quella ipotizzata nel documento di indirizzo.

I contributi dovranno pervenire all’autorità entro il termine di 30 giorni, a partire dal 27 febbraio, dopodiché verranno resi noti i chiarimenti attesi.

Il nostro approccio

Alla luce di quanto abbiamo discusso in questo articolo, i professionisti di SOLUZIONI hanno deciso di attendere ulteriori delucidazioni da parte dell’Autorità, prima di proporre una risposta definitiva alla questione e alle tante perplessità che stanno arrivando anche dai propri clienti.

In attesa che l’Autorità di controllo comunichi le attese delucidazioni, SOLUZIONI rimane a disposizione per un’analisi della singola realtà, mediante una consulenza di un’ora gratuita con un nostro professionista, al fine di valutare quali azioni intraprendere.

Compila il modulo per fissare una videochiamata di approfondimento con un nostro consulente

Contatta un consulente

Avere cura delle esigenze del cliente è alla base dei nostri servizi di consulenza e della nostra formazione. Favoriamo la costruzione di relazioni di partnership con i clienti per gestire insieme la crescita della loro impresa.


    (*) per i campi contrassegnati da * la compilazione è obbligatoria.

    Ho letto l’Informativa sulla Privacy e la Privacy Policy e autorizzo il trattamento dei miei dati personali per le finalità descritte al paragrafo “Esecuzione di attività richieste dall’interessato” dell’Informativa
    [la mancata autorizzazione al trattamento comporta l’impossibilità di svolgere le attività richieste]

    Presto il consenso al trattamento dei miei dati personali per le finalità descritte al paragrafo “Gestione di documentazione tecnico-informativa” dell’Informativa
    [il mancato consenso impedisce l’invio di documentazione tecnica e di contenuti di aggiornamento tecnico]

    Presto il consenso al trattamento dei miei dati personali per le finalità descritte al paragrafo “Gestione iniziative di informazione tecnica, pubblicitaria e promozionale” dell’Informativa
    [il mancato consenso impedisce l’aggiornamento in merito ai nostri servizi, l’invito a nostri eventi gratuiti e la partecipazione a nostre iniziative a condizioni riservate]