Chiarimenti su provvedimento Garante Privacy: Log email conservati massimo 7 giorni

Con la sua newsletter del 6 Febbraio 2024 il Garante per la Privacy italiano ha reso noto di aver predisposto un provvedimento con il fine di dare “indicazioni utili” ai datori di lavoro pubblici e privati in merito alla gestione della posta elettronica in uso ai propri dipendenti.

Ad oggi questo provvedimento più che fare chiarezza ha creato molta confusione negli uffici legali ed IT delle aziende.

Qboxmail offre servizi di gestione delle email calendario e contatti in Cloud a più di 30.000 aziende in Italia ed Europa, per questo vogliamo provare a fare chiarezza su come funziona la raccolta dei log (metadati) delle email e per quanto tempo questi dati devono essere conservati.

AGGIORNAMENTO DEL 27/02/2024

Il Garante Privacy ha pubblicato un documento in cui avvisa di aver attivato una consultazione pubblica al fine di “acquisire osservazioni e proposte riguardo alla congruità” e “Per rispondere alle numerose richieste di chiarimenti ricevute” relative al provvedimento in questione. La consultazione pubblica è aperta a tutti gli interessati e si concluderà dopo 30 giorni. E’ quindi probabile che il provvedimento originale verrà rivisto, rimaniamo quindi tutti in attesa di conoscere l’esito della consultazione.

Cosa sono i metadati

Un metadato è un’informazione che descrive le caratteristiche di un altro oggetto. Nel caso delle email possiamo dire che i metadati sono quelle informazioni che “raccontano” il tragitto di un messaggio email e sono necessarie a far funzionare il servizio email stesso. I metadati delle email non entrano mai nel merito del contenuto del messaggio. Di solito i metadati sono generati dal software del mail server, quindi possono variare a seconda del prodotto, ma di solito contengono:

• Data di invio
• Data di ricezione
• Email Mittente
• Email Destinatario
• Indirizzo IP del mittente (dell’utente che invia e/o del suo server)
• Indirizzo IP del destinatario (del suo server e/o della connessione da cui l’utente legge le email)
• Oggetto del messaggio email
• Dimensione dell”email

Sostanzialmente i metadati nel caso delle email sono i log del traffico email (accessi alle email, email inviate, email ricevute).

Dove vengono archiviati i metadati

I metedati relativi ad un messaggio email si trovano in due posti:

• nelle email stesse (Header delle Email visibili dal sorgente del messaggio)
• nei log del mail server di invio e di ricezione

Quindi decidere di cancellare un metadato specifico è molto difficile: perchè il messaggio email vive e funziona insieme al suo metadato, perchè io posso cancellarlo dal mio sistema ma ne rimane traccia anche sul server del corrispondente mittente/destinatario.

Gli attori in gioco

Garante Privacy il quale ha il potere di ispezionare e sanzionare le aziende che trattano dati di utenti italiani.

Titolare del trattamento: in questo caso il datore di lavoro opera in qualità di titolare del trattamento dei dati dei propri dipendenti.

Responsabile del trattamento: di solito è il fornitore del servizio email in Cloud, SaaS o un azienda IT che manutiene un mail server dedicato ad un azienda, deve esserci una lettera di nomina che di solito i fornitori di servizio forniscono insieme al contratto di fornitura del servizio stesso.

Interessato: in questo caso il dipendente dell’azienda, la persona che il garante vuole tutelare

Il servizio delle email potrebbe essere anche gestito direttamente dall’azienda (con un proprio server dedicato), il provvedimento vale ugualmente.

E’ importante sottolineare che in questo provvedimento specifico il garante privacy invita i “titolari del trattamento” a verificare le modalità di fornitura del servizio ed adotare le misure necessarie.

Per quanto tempo vanno conservati i log delle email

Attualmente tutti gli operatori che erogano servizi di tipo telefonico o telematico (la posta elettronica rientra nel tipo telematico) sono tenuti a conservare i dati di traffico per un periodo che va da 6 a 72 mesi a seconda della finalità del trattamento:

La tabella della data retention è abbastanza complessa in quanto entrano in gioco diversi riferimenti normativi ma possiamo semplificarla dicendo che i log possono essere conservati:

• Fino a 6 mesi: per finalità di assistenza tecnica e fatturazione
• Fino a 12 mesi: per finalità di accertamento e repressione dei reati
• Fino a 72 mesi: per finalità di contrasto al terrorismo ed alla criminalità organizzata

L’accesso a questi dati deve essere consentito solo a personale (incaricati) specificatamente autorizzato. Ovviamente deve essere escluso dalla conservazione tutti il contenuto delle comunicazioni.

Cosa chiede quindi il Garante Privacy

Il provvedimento si riferisce agli accessi, ai metadati, eseguiti dal datore di lavoro/titolare del trattamento che non può accedere a questi dati se più vecchi di 7 giorni, estensibili di 48 ore, in presenza di comprovate esigenze, a meno che non sia presente uno specifico accordo sindacale fra l’azienda ed i lavoratori. Perchè questo può comportare un indiretto controllo a distanza dell’attività del lavoratore.

Probabilmente quello che vuole ottenere il garante è di evitare che la finalità del trattamento dei log delle email sia finalizzata ad un controllo a distanza dei lavoratori.

Cosa sicuramente non può essere fatto

Chiedere al proprio fornitore di servizio (che opera in qualità di responsabile del trattamento) di cancellare i log delle email: non è possibile perchè ci sono norme e leggi che impongono ai fornitori del servizio di conservare questi log per più di 7 giorni.

Pensare di cancellare le email più vecchie di 7 giorni: perchè ai dipendenti ed all’azienda servono per lavorare e perchè il provvedimento parla di metadati, che di solito risiedono altrove.

In ogni caso, se anche cancellassimo i log delle email dopo 7 giorni, cancellassimo le email più vecchie di 7 giorni, una buona parte di metadati rimarrebbe ugualmente conservati sul server del nostro corrispondente sul quale noi non abbiamo nessun tipo di controllo.

Cosa andrebbe fatto

Verificato con il proprio fornitore se questi metadati sono a disposizione del datore di lavoro (sostanzialmente il cliente che compra il servizio da fornitore), se si evitare di trattarli quando più vecchi di 7 giorni e verificare se il fornitore prevede un adeguamento dei propri sistemi alla luce di questo provvedimento.

Verificare cosa prevedono le informative privacy che l’azienda, in qualità di titolare del trattamento, consegna ai propri dipendenti, ed aggiornarle di consequenza.

Contattare il proprio consulente in materia privacy o i legali interni all’azienda per definire una strategia di adeguamento al provvedimento.

Se si sta accedendo a questi dati, per vari motivi, disciplinare l’accesso ai dati con una specifica procedura aziendale che stabilisca:

• nominare chi in azienda è autorizzato ad accedere a questi dati
• quali dati possono o non possono essere acceduti
• per quali finalità questi dati possono e non possono essere trattati
• popo quanto tempi dati non possono più essere acceduti per le finalità definite (anche se eventualmente ancora conservati e disponibili per altri fini)

Cosa prevede Qboxmail per i propri clienti

Qboxmail, fornitore di servizi in Cloud per la gestione delle email aziendali, mette a disposizione dei propri clienti lo strumento Tracemail con lo scopo di agevolare le operazioni di assistenza tecnica relativa alle problematiche delle email. Tracemail mostra le attività di una casella email negli ultimi 30 giorni (nascondendo già l’oggetto del messaggio e l’indirizzo IP dell’utente) e deve essere utilizzato per il trattamento dati ai fini di assistenza tecnica. Inoltre ogni accesso e consultazione a Tracemail è tracciata nello strumento Registro delle Attività del nostro Pannello di Controllo. Il datore di lavoro, ovvero il titolare del trattamento, non dovrà quindi accedere ai dati più vecchi di 7 giorni, anche se eventualmente disponibili, salvo sia in essere nella sua azienda un accordo sindacale o altro che regola diversamente l’uso di queste informazioni.

Valuteremo se ridurre a 7 giorni i dati visibili in Tracemail per i soli clienti italiani.