Controllo dei metadati delle email dei dipendenti
I metadati relativi alle email di dipendenti non possono essere conservati in maniera indiscriminata e, di regola, per oltre sette giorni. Così dice il Garante privacy, sanzionando la Regione Lazio per 100.000 euro.
Tutto nasce da controlli sui metadati
La vicenda che ha dato origine all’ordinanza ingiunzione adottata dal Garante privacy nei confronti della Regione Lazio l’1 dicembre 2022 nasce dai controlli che la Regione aveva iniziato ad eseguire sui metadati riferiti alle email aziendali di alcuni dipendenti.
Un sindacato presentava infatti una segnalazione al Garante privacy per lamentare il fatto che la Regione, sulla base di una presunta rilevazione all’esterno di notizie segrete da parte di propri dipendenti, effettuava controlli sui metadati degli avvocati dell’Avvocatura Regionale.
In sostanza, per provare a scoprire chi fosse la talpa che trafugava all’esterno notizie segrete, la Regione Lazio commissionava alla società incaricata quale sistemista dell’ente un controllo sui metadati dei sospettati, ovverosia gli avvocati dell’Avvocatura Regionale.
“Don't play to the house of the players!”, come diceva il grande Checco Zalone in Sole a catinelle.
Ma cosa sono i metadati?
I metadati non sono nient’altro che il “traffico di posta elettronica”, ovverosia i dati di contorno alle email.
I metadati forniscono dunque le informazioni di dettaglio esterne di una email quali il giorno, l’ora, il mittente, il destinatario, l’oggetto e la dimensione della email. Non rientrano nei metadati tutto il contenuto della email, ovverosia il testo e gli eventuali allegati.
Dunque, con il controllo commissionato la Regione Lazio non accedeva alle email inviate dai propri dipendenti con l’account aziendale, o comunque non prendeva visione del relativo contenuto, ma si limitava a verificare i metadati per ravvisare eventuali anomalie. Se un dipendente invia ogni giorno email molto pesanti allo stesso destinatario, può presumersi che stia trafugando documenti…
E qual è il problema sul controllo dei metadati?
Nel caso portato alla sua attenzione, il Garante ha ritenuto il controllo sui metadati effettuato dalla Regione Lazio illegittimo per le seguenti ragioni:
1. esecuzione del controllo sui metadati in assenza dell’autorizzazione dell’Ispettorato del Lavoro o, in alternativa, di un accordo sindacale. Il controllo sui metadati è stato dunque qualificato come controllo a distanza sui lavoratori, coperto dalle garanzie di cui all’articolo 4 dello Statuto dei Lavoratori;
2. mancata informativa ai dipendenti sulla possibilità per la Regione di effettuare un controllo sui metadati. Nei documenti prodotti dalla Regione per difendersi si leggeva infatti solo una generica riserva circa la possibilità di non meglio precisati controlli per motivi organizzativi e di sicurezza, senza alcun riferimento specifico al controllo sui metadati e ai relativi dettagli (ad esempio, base giuridica e tempi di conservazione);
3. tempi di conservazione eccessivi, visto che i metadati venivano conservati per prassi in maniera generale ed indiscriminata per 180 giorni prima di essere cancellati. Tale termine di conservazione è stato ritenuto eccessivo ed ingiustificato da parte del Garante privacy, che ha dunque ingiunto al titolare di abbassare i tempi di conservazione a 7 giorni;
4. assenza di una valutazione d’impatto, dato che il controllo era stato eseguito senza prima effettuare questo adempimento previsto dall’articolo 35 del GDPR.
Quindi non si può proprio conservare e controllare i metadati?
Attenzione a non ingigantire né sminuire la decisione del Garante privacy.
Con questo provvedimento il Garante privacy non dice “non si può in nessun caso controllare i metadati riferiti alla email dei dipendenti e bisogna sempre conservare questi metadati per massimo 7 giorni” ma invece afferma che questo genere di controlli sui metadati sono controlli a distanza e, quindi, se vogliono essere eseguiti, conservando oltre il tempo di conservazione minimo i metadati, lo si deve fare passando prima per l’Ispettorato o in forza di un accordo sindacale.
Per leggere l’intero provvedimento, clicca qui.
