Le prescrizioni del Garante privacy sui metadati della posta elettronica: le istruzioni di Bard e Copilot per Gmail e Exchange

Facebook
Twitter
LinkedIn

L’Autorità Garante per la protezione dei dati personali italiana ha recentemente adottato un provvedimento che limita la conservazione dei metadati delle email a 7 giorni per le organizzazioni che utilizzano sistemi di posta elettronica. Vediamo le sue prescrizioni e se è possibile rispettarle, chiedendo l’aiuto delle IA utilizzate dagli stessi produttori di posta.

Il provvedimento incorpora un documento di indirizzo in tema di “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” piuttosto strutturato, che appare più facilmente comprensibile se esposto per punti.

Da quali circostanze è scaturita la necessità del provvedimento?

L’Autorità Garante per la protezione dei dati personali, nell’ambito di accertamenti condotti presso realtà pubbliche e private, ha riscontrato la raccolta dei metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti per un esteso arco temporale, per cui ha ritenuto di promuovere la consapevolezza e la comprensione del pubblico circa i rischi correlati a tale conservazione eccedente le finalità.

Cosa sono i metadati?

I metadati sono dati in formato strutturato che forniscono informazioni su altri dati. In un’email, i metadati possono includere mittente, destinatario, oggetto, data e ora di invio e ricezione, dimensioni del messaggio.

Quali rischi ha ravvisato il Garante nella conservazione dei metadati per un periodo troppo elevato?

Il Garante ha ritenuto che la conservazione illimitata dei metadati delle email possa rappresentare un rischio per la privacy degli utenti, poiché potrebbero essere utilizzati per tracciare le attività degli utenti online, le loro relazioni e le loro abitudini, acquisendo informazioni riferite alla sfera personale o alle opinioni dell’interessato.

Quali sono i limiti temporali di conservazione indicati dal Garante e da quali ragionamenti derivano?

Il Garante ritiene congrua la conservazione di queste informazioni per un periodo non superiore a sette giorni,  estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore.

All’interno di tale limitazione temporale, i tempi di conservazione consentono di considerare tali strumenti come preordinati alla “registrazione degli accessi e delle presenze” e allo “svolgimento della prestazione”. Tale denominazione consente di rientrare nella fattispecie dell’ art. 4, comma 2 della L. 300/1970 (“Statuto dei lavoratori”), garantendo quindi un regime esente dall’obbligo di garanzie procedurali come un accordo sindacale o l’autorizzazione da parte dell’Ispettorato del Lavoro.

Cosa devono fare le organizzazioni per rispettare le prescrizioni di Garante?

Le organizzazioni devono verificare che il sistema di posta elettronica possa garantire la limitazione della conservazione nei termini previsti (e, in caso affermativo, configurare adeguatamente i sistemi).

In entrambi i casi, le organizzazioni in quanto titolari del trattamento devono fornire agli interessati una specifica informativa sul trattamento dei dati personali prima di dare inizio al trattamento (difficilmente applicabile nella realtà, poiché i sistemi di posta sono di fatto già utilizzati…).

Cosa possono fare le organizzazioni se i propri sistemi di posta non consentono la limitazione della conservazione dei metadati?

In tal caso, le organizzazioni devono attivare le procedure di garanzia previste dalla disciplina di settore (art. 4 della l. 300/1970), cioè l’accordo sindacale o l’autorizzazione da parte dell’Ispettorato del Lavoro. In alternativa, le organizzazioni devono cessare l’utilizzo di tali programmi e servizi informatici.

Cosa rischiano i titolari in caso di mancato rispetto delle indicazioni del provvedimento?

Le organizzazioni rischiano oltre all’applicazione di sanzioni amministrative pecuniarie ai sensi dell’art. 83, par. 5, lett. d) del Regolamento, anche il possibile insorgere di responsabilità sul piano penale (cfr. art. 171 del Codice) in caso di illiceità del trattamento. Ragionando per analogia con violazioni di analoga entità comminate dal Garante, le piccole/medie organizzazioni possono rischiare – indicativamente – sanzioni di qualche decina di migliaia di euro.

Come possono le organizzazioni verificare se il loro sistema di posta elettronica consente di limitare la conservazione dei metadati per le tempistiche previste dal provvedimento?

La verifica e l’applicazione delle limitazioni previste cambia a seconda del sistema di posta.

Al fine di verificare la situazione relativa ai due sistemi di posta in cloud maggiormente diffusi, abbiamo chiesto direttamente alle IA utilizzate dagli stessi produttori di posta, ponendo la medesima questione sul perimetro di competenza. Abbiamo dunque chiesto:

L’autorità Garante per la protezione dei dati personali italiana ha stabilito che le organizzazioni non possono conservare i metadati dei messaggi di posta elettronica per più di 7 giorni, tramite un provvedimento pubblicato all’indirizzo https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9978728; scrivi le istruzioni operative per l’amministratore di sistema al fine di limitare la conservazione dei metadati dei messaggi di posta elettronica per un tempo pari a 7 giorni

Ecco le risposte ottenute:

La risposta di BARD, in merito alle funzionalità di GMAIL

Bard ha fornito una risposta strutturata, sviluppata per punti che prevedeva l’accesso a Google Workspace per configurare le tempistiche di retention dei metadati. Testando le istruzioni, purtroppo, si è riscontrato che non erano applicabili.

Da una ricerca sul web, sembra che – al momento – non sia possibile rimuovere i metadati entro una settimana, come indicato in questo gruppo di discussione.

La risposta di Copilot, in merito al server di posta Microsoft Exchange

Copilot ha fornito delle istruzioni molto schematiche ma non del tutto aggiornate.

Con il nuovo pannello di gestione di MS 365, infatti, la modifica di tali informazioni è un po’ più complessa e prevede, attraverso il pannello “Conformità” (Microsoft Purview), la creazione di specifiche etichette di conservazione. E’ un’operazione piuttosto articolata ed appare piuttosto complesso gestire le regole dei soli metadati, poiché la documentazione fa riferimento alla conservazione dei messaggi. Per maggiori imformazioni è possibile approfondire il tema con il supporto della documentazione on line di Microsoft.

In conclusione, appare complesso allo stato attuale trovare una soluzione efficace per attenersi alle indicazioni del Garante della Privacy. I metadati della posta elettronica dei maggiori vendor di soluzioni cloud risultano un contenuto difficilmente accessibile, persino con l’aiuto delle IA “competenti”.

Per informazioni sull’offerta di SI.net Servizi Informatici per accompagnarti nelle continue sfide legate alla trasformazione digitale, scrivi a comunicazione@sinetinformatica.it o telefona allo 0331.576848.

Per ricevere aggiornamenti sulle tematiche relative all’innovazione nell’ICT iscriviti alla nostra newsletter.

Segui SI.net anche su Twitter, Facebook, YouTube, LinkedIn, Telegram, Instagram