Il documento di indirizzo, recentemente prodotto dal Garante per la protezione dei dati, è occasione per un approfondimento dei metadati.
Aggiornamento conseguente alla consultazione pubblica del Garante per la protezione dei dati personali indetta il 16mar2024:
* le linee guida afferiscono ai soli metadati corrispondenti alle informazioni nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni client (MUA = Mail User Agent);
* La conservazione dei metadati è consentitata per un periodo massimo di 21 giorni (nelle prime linee guida erano 7 giorni); (Un periodo più lungo di conservazione deve essere oggetto di un accorso con le rappresentanze sindacali o autorizzato dall’Ufficio Territoriale del Lavoro).
* I lavoratori dipendenti devono essere informati circa l’uso dei metadati di posta elettronica;
* I fornitori devono implementare misure adeguate al fine di garantire ai titolari del trattamento il rispetto degli obblighi indicati dalle lineee guida.
Versione precedente alla consultazione pubblica:
IL DOCUMENTO DI INDIRIZZO
Il Garante per la protezione dei dati ha varato un documento di indirizzo, denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” afferente alla conservazione dei metadati introducendo nuove tutele per la posta elettronica dei lavoratori dipendenti.
Successivamente il Garante ha deciso di differire l’efficacia del documento di indirizzo e promuovere una consultazione pubblica di 30 giorni dalla data di pubblicazione in Gazzetta Ufficiale.
Dalla lettura del documento emerge l’importanza, per i datori di lavoro, di avvalersi di strumenti utili a disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione. Il Garante chiede ai datori di lavoro di verificare che i programmi ed i servizi informatici, di gestione della posta elettronica in uso ai lavoratori dipendenti, permettano di modificare le impostazioni di base, inibendo la raccolta dei metadati o limitandone il periodo di conservazione ad un massimo di 7 giorni, incrementabili, in presenza di comprovate esigenze, di ulteriori 48 ore.
Qualora i datori di lavoro che, per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare, avessero necessità di trattare i metadati per un periodo di tempo più lungo, dovrebbero procedere, in ottemperanza allo Statuto dei lavoratori, ad un accordo sindacale o autorizzazione dell’ispettorato del lavoro.
METADATI
Per i non tecnici, spero far cosa gradita discernendo, di seguito, di metadati.
Semplificando, i metadati sono definibili come dati di dati oppure dati associati ad un documento informatico. Ad esempio, i metadati nella posta elettronica forniscono informazioni essenziali sulle comunicazioni e concretamente sono: mittente, destinatario, data, ora dell’invio, oggetto dell’e-mail e altri utili all’organizzazione e alla gestione delle email.
Più nel dettaglio, le regole tecniche in materia di formazione, trasmissione, copia, duplicazione, riproduzione e validazione temporale dei documenti informatici contenute nell’allegato 1 del DPCM 13 novembre 2014 propongono la seguente definizione: “insieme di dati associati a un documento informatico, o a un fascicolo informatico, o ad un’aggregazione documentale informatica per identificarlo e descriverne il contesto, il contenuto e la struttura, nonché per permetterne la gestione nel tempo nel sistema di conservazione”.
Nel contesto della posta elettronica, i metadati facilitano la gestione, la consegna e l’organizzazione delle email. Inoltre i metadati potrebbero essere utilizzati per scopi legali e di compliance normativa, ad esempio per dimostrare la tempistica di una comunicazione o per necessità di informatica forense o di conservazione.
Quando si parla di gestione e organizzazione delle email, nella pratica ci riferiamo a filtri antispam, possibilità di suddividere in cartelle le varie mail, contrassegnare la corrispondenza importante, instradare automaticamente le email a uffici specifici di una organizzazione, nonché ricercare email inviate o ricevute.
I metadati potrebbero quindi creare un rischio a livello di protezione dati e privacy in quanto da essi si possono ricavare indirizzi IP, nomi dei mittenti e dei destinatari (ricavabili per esempio dall’indirizzo email composto da nome.cognome) nonché l’ora di invio delle email. Questi dati potrebbero essere utili sia ad aziende per misurare l’efficacia delle campagne di marketing sia a criminali informatici per attacchi di phishing ed ingegneria sociale.
Per far sì che le informazioni insite nei metadati restino private e non accessibili a terze parti non autorizzate, sorge la necessità di implementare tecniche di anonimizzazione dei metadati e crittografia (crittografia end-to-end affinché i messaggi di posta elettronica vengano criptati prima dell’invio e decriptati solo dal destinatario autorizzato).
Altre tecniche idonee a ridurre il rischio: limitare l’accesso ai metadati a specifici utenti mediante ruoli e credenziali di accesso; rimozione dei metadati prima dell’invio; sostituire informazioni identificative con dati anonimi o pseudonimi (cosiddetta anonimizzazione); limitazione della quantità di informazioni archiviate; erogare formazione agli utenti per sensibilizzarli alla sicurezza.
Da un lato l’utilità ai fini organizzativi e legali, dall’altra il rischio privacy. Sorge la necessità di bilanciamento fra necessità e rischio. Per bilanciare, è utile cancellare i metadati dopo un determinato lasso di tempo. Ciò riduce l’esposizione dei dati e quindi il rischio di violazione della loro sicurezza.
Bigliografia e sitografia:
provvedimento del 6 giugno 2024, n. 364 (doc. web n. 10026277)
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9978728 [come da accesso del 20apr2024]
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9988018 [come da accesso del 20apr2024]
https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:legge:1970;300~art4 [come da accesso del 20apr2024]
A. d’Arminio Monforte, Matteo Rocchi, Le prove digitali nel processo civile. Profili giuridici e informatico-forensi, Pacini editore Srl, 2021
Andrea Gandini, Dal CAD al web, Blu editore, 2020
https://www.normativedatabase.net/2024/04/20/provvedimento-del-21-dicembre-2023-documento-di-indirizzo-posta-elettronica-e-metadati/ [come da accesso del 21apr2024]
/www.normativedatabase.net/2024/08/11/provvedimento-del-6-giugno-2024-documento-di-indirizzo-programmi-e-servizi-informatici-di-gestione-della-posta-elettronica-nel-contesto-lavorativo-e-trattamento-dei-metadati/ [come da consultazione del 11ago2024]
Per il lettore interessato ad approfondimenti sul mondo delle tecnologie, sicurezza informatica e privacy, segnalo alcune mie pubblicazioni: