Il Garante della Privacy, nel Provvedimento del 21 dicembre 2023 - Documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” si è espresso a proposito della conservazione, da parte del datore di lavoro, dei metadati.
E non è la prima volta.
In questo caso il provvedimento prende in considerazione i metadati creati e conservati nella gestione della posta elettronica di programmi forniti cloud o as-a-service.
Un metadato, che è un dato che descrive una qualche proprietà di un altro dato, consente di ottenere moltissime informazioni sulle attività effettuate soprattutto attraverso i sistemi informatici.
Nel caso della posta elettronica i metadati, possono essere giorno, ora, mittente, destinatario, oggetto e dimensione dell’email, indirizzi IP, e possono essere utilizzati non solo per finalità di sicurezza ma per un potenziale controllo delle attività del lavoratore, soprattutto in considerazione del fatto che molti servizi – come Google Workspace ex G Suite, Microsoft 365 ex Office 365, per citarne alcuni – mettono a disposizione anche integrazioni con calendari, strumenti di collaborazione, spazio di archiviazione e altre funzionalità per migliorarne la produttività.
Una disponibilità di (meta)dati importanti che nel tempo può diventare un data base importante da analizzare.
Un modus operandi che è molto più comune di quello che crediamo se consideriamo che quasi tutti i sistemi interconnessi comunicano, registrano e “studiano” metadati e che questi possono essere interrogati su molteplici situazioni, come quelle relative, per esempio della produttività, del sistema come del singolo utente.
È importante che questo provvedimento, oltre a indicarci la direzione da intraprendere per poter effettuare una corretta gestione dei dati, sia valutato in una visione prospettica, in cui le aziende siano attente a impostare un sistema basato su impostazioni corrette.
Per quanto concerne il provvedimento in oggetto, oltre a tenere in considerazione il fatto che il contenuto della mail del dipendente deve restare assolutamente riservato (artt. 2 e 15 della Costituzione), va anche ribadito che nel contesto lavorativo per effettuare un trattamento di dati che può comportare anche solo un potenziale controllo del lavoratore occorre un idoneo presupposto di liceità (artt. 5, par. 1, lett. a) e 6 del GDPR).
E questo può accadere in ogni situazione perché, come nei programmi/servizi informatici per la gestione della posta elettronica, molti applicativi risultano configurati in modo tale (in molti casi con impostazioni predefinite, in modo preventivo e generalizzato) da raccogliere e conservare i metadati relativi.
Come previsto dall’art. 4 dello Statuto dei Lavoratori (L. 300/1970) rimane fermo:
- “Il divieto al datore di lavoro di acquisire e comunque trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata”.
- “L’obbligo di impiegare strumenti, dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori (per esigenze organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale) solo a seguito di precise garanzie procedurali (accordo sindacale o autorizzazione pubblica)”.
Cosa valutare quindi?
- Verificare con la dovuta diligenza che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud oas-a-service – consentano al cliente (datore di lavoro) di modificare le impostazioni di base.
- Informare i dipendenti con una chiara rappresentazione del trattamento effettuato.
- Valutare quei produttori dei servizi e delle applicazioni che in fase di sviluppo e progettazione degli stessi tengono conto del diritto alla protezione dei dati.
Partiamo da alcune premesse:
- I metadati sono, termine in uso nel linguaggio informatico, un insieme di informazioni sui dati. In pratica sono le informazioni di un documento informatico e ne indicano la provenienza, la data di creazione, le ultime modifiche, il soggetto che l’ha creato e tutti quegli attributi utili per la loro classificazione.
Nell’esempio dei messaggi di testo i metadati più tipici sono l'ora di invio, il destinatario e le informazioni su eventuali allegati che il messaggio potrebbe avere.
Alcune app di messaggistica, come WhatsApp e affini, possono incorporare informazioni aggiuntive come l'ora di apertura della notifica e le eventuali reazioni o le emoji al suo interno, mentre per quanto riguarda foto e video realizzati con uno smartphone bisogna sapere che il telefono inserisce all’interno dello scatto tutte le informazioni utili per descrivere il file come impostazioni, produttore della fotocamera, l'ora in cui è stata scattata la foto e in alcuni casi le coordinate GPS dell'immagine.
Tutti questi dati possono essere utilizzati per classificare i diversi file e ordinarli, ad esempio, attraverso le impostazioni della galleria foto del telefono.
Inoltre, i moderni sistemi di riconoscimento dei metadata sono anche in grado di riconoscere chi o cosa è presente nell’immagine, aggiungendo un ulteriore livello di classificazione ancora più dettagliato.
- I metadati vengono utilizzati dai dispositivi moderni per ordinare i file al loro interno in base alla tipologia o ad altri parametri scelti dall’utente.
Sommando tutti i dispositivi che ci sono semplicemente in un sistema (ad esempio: sistema aziendale) quotidianamente viene creata una quantità incredibile di queste indicazioni.
- I metadati, immessi all’interno di algoritmi e modelli di apprendimento automatico, analizzano i comportamenti degli individui (ad esempio: pubblicità mirata e suggerimenti dei vari contenuti personalizzati).
È indubbio quindi che il discorso dei metadati è associato alla privacy.