Raccolta e conservazione dei metadati delle email aziendali, varato il documento di indirizzo

Con decisione del 6 giugno 2024 il Garante per la protezione dei dati personali ha rielaborato significativamente le direttive pubblicate il 6 febbraio 2024 sui tempi di conservazione dei metadati. Il documento sembra trovare un equilibrio più gestibile a livello aziendale. 

Il Garante, aveva recentemente avviato una consultazione pubblica riguardo al trattamento dei metadati relativi all’utilizzo della posta elettronica aziendale da parte dei dipendenti, sollevando importanti questioni sulla corretta gestione di tali dati nel rispetto della privacy dei lavoratori.

Nell’ambito di recenti accertamenti condotti dal Garante per la protezione dei dati personali riguardo ai trattamenti di dati effettuati nel contesto lavorativo, è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, anche quando forniti in modalità cloud, raccolgono per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account email aziendali da parte dei dipendenti.

Questi dati vengono conservati per lunghi periodi di tempo. Nel resto del documento, questi dati saranno chiamati alternativamente “metadati di posta elettronica” o “log di posta elettronica”.

Raccolta generalizzata metadati email dipendenti – Le informazioni relative alle operazioni di invio, ricezione e smistamento dei messaggi possono includere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, ritrasmissione o ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in alcuni casi, a seconda del sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto.

Questi metadati vengono spesso conservati per un periodo di tempo esteso.

In alcuni casi, è stato riscontrato che i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi.

Ciò solleva preoccupazioni riguardo alla conformità di tali pratiche con la normativa sulla protezione dei dati personali e con le disposizioni giuslavoristiche in materia di controllo a distanza dei lavoratori.

I metadati delle email, pur non entrando nel merito del contenuto dei messaggi, possono fornire informazioni dettagliate sulle attività e le comunicazioni dei dipendenti, configurandosi come una forma di monitoraggio invasivo se raccolti e conservati in modo indiscriminato.

Il Garante ha quindi ritenuto necessario intervenire per promuovere una maggiore consapevolezza tra i datori di lavoro pubblici e privati riguardo alle implicazioni di tali trattamenti e per fornire indicazioni volte a prevenire violazioni della privacy dei lavoratori.

Metadati email: definizione tecnica – I metadati menzionati in questo documento (sia quelli di origine puramente tecnica sia quelli, come il campo “Oggetto”, determinati dagli utenti) sono registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utente.

Questi elementi corrispondono tecnicamente alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica, noti come MTA ( Mail Transfer Agent ).

Questi metadati vengono prodotti durante l’interazione tra i diversi server coinvolti nel processo di invio e ricezione delle email, nonché tra i server e i client, ovvero le postazioni terminali utilizzate dagli utenti per inviare i messaggi e consultare la posta in arrivo accedendo alle caselle di posta elettronica, definite negli standard tecnici come MUA ( Mail User Agent ).

Questi metadati sono utili per vari scopi, come la sicurezza e la gestione della rete, ma possono anche essere sensibili dal punto di vista della privacy, motivo per cui il Garante della Privacy li monitora attentamente.

I metadati MTA forniscono dettagli sul percorso seguito da un messaggio di posta elettronica e sono necessari per il corretto funzionamento del servizio email stesso.

Essi includono informazioni come gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei computer coinvolti nell’invio del messaggio, gli orari di invio, ritrasmissione e ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in alcuni casi, anche l’oggetto del messaggio.

Sebbene i metadati non entrino nel merito del contenuto dei messaggi, la loro raccolta e conservazione sistematica e prolungata può sollevare problematiche in termini di protezione dei dati personali dei dipendenti e di controllo a distanza dell’attività lavorativa.

Il Garante ha quindi ritenuto necessario fornire indicazioni specifiche riguardo al trattamento di tali informazioni nel contesto lavorativo, al fine di garantire il rispetto dei principi di limitazione delle finalità, minimizzazione dei dati e protezione fin dalla progettazione e per impostazione predefinita sanciti dal GDPR.

Mail Transfer Agent (MTA) Explained – Un Mail Transfer Agent (MTA), noto anche come Message Transfer Agent o mail relay, è un software che si occupa del trasferimento delle email tra i computer del mittente e del destinatario.

L’MTA svolge un ruolo essenziale nel sistema di gestione dei messaggi di posta elettronica su Internet, occupandosi di tutto ciò che avviene tra l’invio e la consegna dell’email nella casella del destinatario.

Quando un’email viene inviata, l’MTA la riceve dal Mail Submission Agent (MSA), che a sua volta l’ha ricevuta dal Mail User Agent (MUA), ovvero il client di posta elettronica utilizzato dall’utente. Una volta che l’MTA ha preso in carico l’email, si occupa del relaying , ovvero dell’inoltro del messaggio ad altri MTA se il destinatario non è ospitato localmente, fino a raggiungere il Mail Delivery Agent (MDA) che consegnerà l’email nella casella del destinatario.

Gli MTA utilizzano il protocollo SMTP ( Simple Mail Transfer Protocol ) per l’invio delle email e possono impiegare estensioni come ESMTP per funzionalità avanzate.

Operano secondo un modello store-and-forward , mettendo in coda la posta in uscita fino alla conferma di consegna o alla scadenza di limiti temporali predefiniti. In caso di mancata consegna entro i termini stabiliti, l’email viene restituita al client di posta.

Gli MTA svolgono quindi un ruolo centrale nella deliverability delle email , gestendo la reputazione del mittente, filtrando lo spam, autenticando le email, ottimizzando i percorsi di consegna e gestendo gli errori di consegna.

Possono contribuire a proteggere e rafforzare la reputazione del mittente attraverso il warm-up graduale di nuovi indirizzi IP, la configurazione di flussi di invio conformi ai limiti dei domini destinatari e il reinvio delle email in caso di greylisting .

La scelta dell’MTA più adatto dipende da diversi fattori, tra cui le esigenze specifiche dell’organizzazione, il volume di email da gestire, le funzionalità richieste e il budget disponibile. Tra gli MTA più diffusi vi sono Sendmail/Proofpoint, Postfix, Exim, OpenSMTP, Mutt, Alpine e Qmail, ciascuno con caratteristiche e punti di forza specifici.

I Metadati sono come le “impronte digitali” delle email. Non contengono il contenuto delle email, ma informazioni su di esse, come chi l’ha inviata, a chi è stata inviata, quando è stata inviata, ecc. MTA (Mail Transfer Agent): è il “postino” digitale. È il software che prende la tua email e la consegna al server di destinazione. MUA (Mail User Agent): è il “client di posta” che usi, come Outlook o Gmail. È il software che usi per leggere e inviare email.

Esempi:

– Invio di un’email dal lavoro: quando invii un’email dal tuo account aziendale, il MTA registra che hai inviato un’email al tuo collega alle 10:00 del mattino. Questo è un metadato.

– Ricezione di un’email su Gmail: Quando ricevi un’email su Gmail, il MUA (Gmail) registra che hai ricevuto un’email da un amico alle 14:30. Questo è un altro esempio di metadato.

Metadati email: registrazione automatica – I metadati delle email a cui fa riferimento il documento di indirizzo del Garante comprendono una vasta gamma di informazioni relative alle operazioni di invio, ricezione e smistamento dei messaggi di posta elettronica. Questi possono includere:

– Gli indirizzi email del mittente e del destinatario

– Gli indirizzi IP dei server o dei computer client coinvolti nell’instradamento del messaggio

– Gli orari di invio, ritrasmissione e ricezione del messaggio

– La dimensione del messaggio di posta elettronica

– La presenza e la dimensione di eventuali allegati

– In alcuni casi, a seconda del sistema di gestione della posta utilizzato, anche l’oggetto del messaggio spedito o ricevuto.

È importante sottolineare che questi metadati, sia quelli di natura prettamente tecnica sia quelli determinati dagli utenti come l’oggetto, vengono registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione o dalla volontà dell’utilizzatore. Ciò significa che tali informazioni vengono raccolte e conservate in modo sistematico, senza che l’utente ne sia necessariamente consapevole o possa controllarle.

Metadati Email vs Envelope – E’ importante distinguere i metadati delle email, come intesi nel documento di indirizzo del Garante, dalle informazioni contenute nel corpo del messaggio (body-part) o integrate nell’envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici. Gli stessi metadati come qui intesi non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate – ancorché talvolta non immediatamente visibili agli utenti dei software “client” di posta elettronica (i cosiddetti MUA – Mail User Agent) – a formare il cosiddetto envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici.

In sintesi:

– Metadati : Informazioni tecniche registrate automaticamente (es. indirizzi email, orari).

– Body-part : Il testo effettivo del messaggio.

-Envelope : Dettagli tecnici sull’instradamento del messaggio, parte del messaggio stesso.
(Esempio: Return-Path: Received: from mail.example.com (mail.example.com [192.0.2.1]) by mx.google.com with ESMTP id xyz123abc456 for ; Fri, 15 Jun 2024 10:15:30 -0700 (PDT)Received: from [192.0.2.2] (helo=mail.example.com) by mail.example.com with esmtpa (Exim 4.85) (envelope-from ) id 1XyZaB-0001cD-1A for destinatario@example.com; Fri, 15 Jun 2024 10:15:28 -0700Date: Fri, 15 Jun 2024 10:15:28 -0700From: Mittente To: Destinatario Subject: Esempio di envelope di un’email). Le informazioni contenute nell’envelope, ancorché corrispondenti a metadati registrati automaticamente nei log dei servizi di posta, sono inscindibili dal messaggio di cui fanno parte integrante e che rimane sotto l’esclusivo controllo dell’utente (sia esso il mittente o il destinatario dei messaggi).

I metadati presi in considerazione dal Garante nel contesto della posta elettronica includono:

– Indirizzi email del mittente e del destinatario.

– Indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio.

– Orari di invio, ritrasmissione o ricezione del messaggio.

– Dimensione del messaggio.

– Presenza e dimensione di eventuali allegati.

– Oggetto del messaggio (in alcuni casi, a seconda del sistema di gestione del servizio di posta elettronica utilizzato).

Questi metadati sono registrati automaticamente dai sistemi di posta elettronica e possono fornire informazioni dettagliate sull’utilizzo degli account di posta elettronica dei dipendenti, conservando tali dati per un lungo periodo di tempo.

A differenza dei metadati registrati nei log dei server di posta, che vengono raccolti e conservati indipendentemente dalla volontà degli utenti, le informazioni contenute nell’envelope sono strettamente legate al messaggio e non possono essere trattate separatamente da esso. Pertanto, mentre i metadati dei log possono sollevare problematiche in termini di protezione dei dati personali e controllo a distanza se raccolti e conservati in modo generalizzato e prolungato, le informazioni dell’envelope rientrano nella sfera di controllo dell’utente e sono tutelate in quanto parte integrante della comunicazione.

Il Garante ha quindi ritenuto necessario fare questa distinzione per chiarire l’ambito di applicazione delle indicazioni fornite nel documento di indirizzo, che si concentrano specificamente sui metadati registrati automaticamente dai sistemi di posta elettronica e non sulle informazioni contenute nei messaggi stessi.

Questo documento non introduce nuove regole o obblighi per i responsabili del trattamento dei dati.

Il suo scopo è fornire una panoramica delle normative esistenti in questo ambito specifico, basandosi su precedenti decisioni dell’Autorità. L’obiettivo è richiamare l’attenzione su alcuni punti di intersezione tra le leggi sulla protezione dei dati e le norme che regolano l’uso delle tecnologie nei luoghi di lavoro.

In questa ottica, l’Autorità fornisce ai datori di lavoro delle linee guida sulla possibilità di trattare tali informazioni per garantire il corretto funzionamento e l’uso regolare del sistema di posta elettronica, inclusa la sicurezza informatica necessaria. Questo può essere fatto senza dover attivare la procedura di garanzia prevista dall’art. 4, comma 1, della legge 20/5/1970, n. 300, come richiamato dall’art. 114 del Codice. Stante la natura orientativa del documento di indirizzo, dallo stesso non discendono nuovi adempimenti o responsabilità.

A seguito delle osservazioni e delle proposte ricevute dal Garante durante la consultazione pubblica a cui è stato sottoposto questo documento (provvedimento del 22 febbraio 2024, n. 127, doc. web n. 9987885; Gazzetta Ufficiale n. 64 del 16 marzo 2024), sono state apportate alcune modifiche e integrazioni al documento di indirizzo.

Tutela costituzionale email dipendenti – Il Garante per la protezione dei dati personali ha costantemente affermato che il contenuto dei messaggi di posta elettronica, così come i dati esteriori delle comunicazioni e i file allegati, riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche a livello costituzionale.

In particolare, gli articoli 2 e 15 della Costituzione italiana proteggono il nucleo essenziale della dignità della persona e il pieno sviluppo della sua personalità nelle formazioni sociali.Ciò implica che, anche nel contesto lavorativo pubblico e privato, sussista una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza.

Questo principio è stato ribadito dal Garante nelle “Linee guida per posta elettronica e internet” del 1° marzo 2007 (punto 5.2 lett. b), doc. web n. 1387522), nonché in numerosi provvedimenti successivi, tra cui il provvedimento del 4 dicembre 2019, n. 216 (doc. web n. 9215890) e i precedenti in esso citati.

Riassumendo per punti in base alle Linee guida per posta elettronica e Internet (1° marzo 2007) :

– Uso conforme della posta elettronica aziendale.

– Regolamentazione dell’accesso a Internet.

– Monitoraggio proporzionato e trasparente.

– Misure di sicurezza per proteggere i dati.

Provvedimento del 4 dicembre 2019, n. 216:

– Conformità con GDPR e normative nazionali.

– Limitazione e protezione dei metadati delle email.

– Trasparenza e informazione agli utenti.

– Adozione di misure di sicurezza tecniche e organizzative.

Misure di Sicurezza – Le misure di sicurezza richieste includono l’adozione di tecnologie di crittografia per proteggere i dati personali durante il trasferimento e la conservazione.

È necessario implementare sistemi di autenticazione robusti per controllare l’accesso ai dati e garantire che solo il personale autorizzato possa accedere alle informazioni sensibili.

Le aziende devono anche effettuare regolari valutazioni del rischio e audit di sicurezza per identificare e mitigare potenziali vulnerabilità. Viene raccomandato l’uso di firewall e software antivirus aggiornati per proteggere i sistemi da attacchi esterni. Inoltre, è importante predisporre piani di risposta agli incidenti per gestire eventuali violazioni dei dati in modo tempestivo ed efficace.

Prescrizioni del Garante – Il Garante per la protezione dei dati personali ha stabilito che le aziende devono informare chiaramente gli utenti sulle modalità e finalità del trattamento dei loro dati personali, inclusi i metadati delle email.

È obbligatorio ottenere il consenso esplicito degli interessati prima di trattare i loro dati.

Le organizzazioni devono adottare politiche trasparenti e fornire informazioni dettagliate sugli strumenti di monitoraggio utilizzati.

Il Garante ha anche imposto la limitazione della raccolta dei metadati e ne ha regolamentato la conservazione, specificando che devono essere conservati solo per il tempo strettamente necessario alle finalità dichiarate.

Le aziende devono garantire che i dati personali siano trattati in modo lecito, corretto e trasparente, rispettando i diritti degli interessati.

Nella seconda parte dell’approfondimento: liceità del trattamento, conservazione proporzionata e il ruolo del DPO nel trattamento dei metadati

Fonte: Il Sole 24 Ore – a cura dell’Avv. Alberto Bozzo, Componente commissione informatica e Ai Unione Triveneta dei Consigli dell’Ordine degli Avvocati