Il Garante Privacy ha pubblicato un documento in cui avvisa di aver attivato una consultazione pubblica al fine di “acquisire osservazioni e proposte riguardo alla congruità” e “Per rispondere alle numerose richieste di chiarimenti ricevute” relative al provvedimento in questione. La consultazione pubblica è aperta a tutti gli interessati e si concluderà dopo 30 giorni. E’ quindi probabile che il provvedimento originale verrà rivisto, rimaniamo quindi tutti in attesa di conoscere l’esito della consultazione.

Un metadato è un’informazione che descrive le caratteristiche di un altro oggetto. Nel caso delle email possiamo dire che i metadati sono quelle informazioni che “raccontano” il tragitto di un messaggio email e sono necessarie a far funzionare il servizio email stesso. I metadati delle email non entrano mai nel merito del contenuto del messaggio. Di solito i metadati sono generati dal software del mail server, quindi possono variare a seconda del prodotto, ma di solito contengono:

• Data di invio
• Data di ricezione
• Email Mittente
• Email Destinatario
• Indirizzo IP del mittente (dell’utente che invia e/o del suo server)
• Indirizzo IP del destinatario (del suo server e/o della connessione da cui l’utente legge le email)
• Oggetto del messaggio email
• Dimensione dell”email

Sostanzialmente i metadati nel caso delle email sono i log del traffico email (accessi alle email, email inviate, email ricevute).

I metedati relativi ad un messaggio email si trovano in due posti:

• nelle email stesse (Header delle Email visibili dal sorgente del messaggio)
• nei log del mail server di invio e di ricezione

Quindi decidere di cancellare un metadato specifico è molto difficile: perchè il messaggio email vive e funziona insieme al suo metadato, perchè io posso cancellarlo dal mio sistema ma ne rimane traccia anche sul server del corrispondente mittente/destinatario.

Garante Privacy il quale ha il potere di ispezionare e sanzionare le aziende che trattano dati di utenti italiani.

Titolare del trattamento: in questo caso il datore di lavoro opera in qualità di titolare del trattamento dei dati dei propri dipendenti.

Responsabile del trattamento: di solito è il fornitore del servizio email Elix o un azienda IT che manutiene un mail server dedicato ad un azienda, deve esserci una lettera di nomina che di solito i fornitori di servizio forniscono insieme al contratto di fornitura del servizio stesso.

Interessato: in questo caso il dipendente dell’azienda, la persona che il garante vuole tutelare

Il servizio delle email potrebbe essere anche gestito direttamente dall’azienda (con un proprio server dedicato), il provvedimento vale ugualmente.

E’ importante sottolineare che in questo provvedimento specifico il garante privacy invita i “titolari del trattamento” a verificare le modalità di fornitura del servizio ed adotare le misure necessarie.

Attualmente tutti gli operatori che erogano servizi di tipo telefonico o telematico (la posta elettronica rientra nel tipo telematico) sono tenuti a conservare i dati di traffico per un periodo che va da 6 a 72 mesi a seconda della finalità del trattamento:

La tabella della data retention è abbastanza complessa in quanto entrano in gioco diversi riferimenti normativi ma possiamo semplificarla dicendo che i log possono essere conservati:

• Fino a 6 mesi: per finalità di assistenza tecnica e fatturazione
• Fino a 12 mesi: per finalità di accertamento e repressione dei reati
• Fino a 72 mesi: per finalità di contrasto al terrorismo ed alla criminalità organizzata

L’accesso a questi dati deve essere consentito solo a personale (incaricati) specificatamente autorizzato. Ovviamente deve essere escluso dalla conservazione tutti il contenuto delle comunicazioni.

Il provvedimento si riferisce agli accessi, ai metadati, eseguiti dal datore di lavoro/titolare del trattamento che non può accedere a questi dati se più vecchi di 7 giorni, estensibili di 48 ore, in presenza di comprovate esigenze, a meno che non sia presente uno specifico accordo sindacale fra l’azienda ed i lavoratori. Perchè questo può comportare un indiretto controllo a distanza dell’attività del lavoratore.

Probabilmente quello che vuole ottenere il garante è di evitare che la finalità del trattamento dei log delle email sia finalizzata ad un controllo a distanza dei lavoratori.

Chiedere al proprio fornitore di servizio (che opera in qualità di responsabile del trattamento) di cancellare i log delle email: non è possibile perchè ci sono norme e leggi che impongono ai fornitori del servizio di conservare questi log per più di 7 giorni.

Pensare di cancellare le email più vecchie di 7 giorni: perchè ai dipendenti ed all’azienda servono per lavorare e perchè il provvedimento parla di metadati, che di solito risiedono altrove.

In ogni caso, se anche cancellassimo i log delle email dopo 7 giorni, cancellassimo le email più vecchie di 7 giorni, una buona parte di metadati rimarrebbe ugualmente conservati sul server del nostro corrispondente sul quale noi non abbiamo nessun tipo di controllo.

Verificato con il proprio fornitore se questi metadati sono a disposizione del datore di lavoro (sostanzialmente il cliente che compra il servizio da fornitore), se si evitare di trattarli quando più vecchi di 7 giorni e verificare se il fornitore prevede un adeguamento dei propri sistemi alla luce di questo provvedimento.

Verificare cosa prevedono le informative privacy che l’azienda, in qualità di titolare del trattamento, consegna ai propri dipendenti, ed aggiornarle di consequenza.

Contattare il proprio consulente in materia privacy o i legali interni all’azienda per definire una strategia di adeguamento al provvedimento.

Se si sta accedendo a questi dati, per vari motivi, disciplinare l’accesso ai dati con una specifica procedura aziendale che stabilisca:

• nominare chi in azienda è autorizzato ad accedere a questi dati
• quali dati possono o non possono essere acceduti
• per quali finalità questi dati possono e non possono essere trattati
• popo quanto tempi dati non possono più essere acceduti per le finalità definite (anche se eventualmente ancora conservati e disponibili per altri fini)

Chiedere al proprio fornitore di servizio (che opera in qualità di responsabile del trattamento) di cancellare i log delle email: non è possibile perchè ci sono norme e leggi che impongono ai fornitori del servizio di conservare questi log per più di 7 giorni.

Pensare di cancellare le email più vecchie di 7 giorni: perchè ai dipendenti ed all’azienda servono per lavorare e perchè il provvedimento parla di metadati, che di solito risiedono altrove.

In ogni caso, se anche cancellassimo i log delle email dopo 7 giorni, cancellassimo le email più vecchie di 7 giorni, una buona parte di metadati rimarrebbe ugualmente conservati sul server del nostro corrispondente sul quale noi non abbiamo nessun tipo di controllo.