Sei un candidato?Sei un'azienda?
About
Sei un candidato?Sei un'azienda?
About
Sei qui:
HomeStoriesNews

4/7/2024

Data:

Approvato il documento per la conservazione dei metadati delle email aziendali

Il Garante Privacy ha aggiornato le linee guida sulla conservazione dei metadati, dando un equilibrio più applicabile nel contesto aziendale.

linee guida garante privacy per la raccolta e conservazione email aziendali

Il 6 giugno, il Garante per la protezione dei dati personali ha aggiornato le linee guida precedentemente pubblicate il 6 febbraio riguardo la durata di conservazione dei metadati. Questa revisione sembra offrire un equilibrio più facilmente applicabile nel contesto aziendale.

Di recente, il Garante ha avviato una consultazione pubblica sul trattamento dei metadati legati all'uso della posta elettronica aziendale da parte dei dipendenti, evidenziando questioni significative sulla gestione appropriata di tali dati nel rispetto della privacy dei lavoratori.

Ulteriori indagini condotte dal Garante hanno rivelato che molti software e servizi di gestione della posta elettronica, inclusi quelli basati su cloud, raccolgono automaticamente e in modo estensivo i metadati relativi all'uso degli account email aziendali. Questi dati sono spesso conservati per periodi prolungati. Nel documento, questi vengono menzionati sia come "metadati di posta elettronica" sia come "log di posta elettronica".

Raccolta generalizzata metadati email dipendenti

Questo insieme di dati si riferisce alle attività di spedizione, ricezione e gestione dei messaggi e può includere gli indirizzi email di mittente e destinatario, gli indirizzi IP dei server o clienti che partecipano all'indirizzamento del messaggio, i tempi di invio, reinvio o ricezione, le dimensioni del messaggio, la presenza e le dimensioni di allegati eventuali e, in alcuni casi, a seconda delle specifiche del sistema di gestione email utilizzato, anche il soggetto del messaggio inviato o ricevuto.

Questi metadati sono spesso conservati per un lungo periodo di tempo. È emerso che, in certi casi, i sistemi impediscono ai datori di lavoro di interrompere la raccolta sistematica di questi dati o di accorciare i tempi di conservazione. Questo solleva dubbi sulla conformità di tali pratiche alle leggi sulla protezione dei dati personali e alle normative sul monitoraggio a distanza dei dipendenti.

Anche se i metadati delle email non rivelano il contenuto dei messaggi, possono offrire dettagli significativi sulle attività e le comunicazioni dei lavoratori, costituendo una forma di sorveglianza invasiva se raccolti e conservati senza criteri. Di conseguenza, il Garante per la protezione dei dati personali ha ritenuto necessario intervenire per aumentare la consapevolezza tra i datori di lavoro, sia pubblici che privati, riguardo alle implicazioni di tali pratiche e per offrire indicazioni per prevenire violazioni della privacy dei lavoratori.

Definizione tecnica di metadati e-mail

I metadati descritti in questo documento, che includono sia quelli di natura puramente tecnica sia quelli determinati dagli utenti come il campo "Oggetto", vengono registrati automaticamente dai sistemi di posta elettronica, senza considerare la percezione o la volontà dell'utente. Queste informazioni corrispondono tecnicamente ai dati conservati nei log che vengono generati dai sistemi server incaricati della gestione e dello smistamento della posta elettronica, conosciuti come MTA (Mail Transfer Agent).

Questi metadati si generano durante le interazioni tra i vari server coinvolti nei processi di invio e ricezione delle email, così come tra i server e i client, ovvero i dispositivi terminali che gli utenti utilizzano per inviare messaggi e controllare la posta in arrivo tramite le proprie caselle e-mail, definiti negli standard tecnici come MUA (Mail User Agent).

Tali metadati sono preziosi per diverse finalità, come la sicurezza e la gestione della rete, ma possono anche risultare sensibili per quanto riguarda la privacy. Per questo motivo, il Garante della Privacy ne monitora attentamente l'uso.

I metadati MTA forniscono dettagli essenziali sul percorso seguito da un messaggio di posta elettronica, risultando indispensabili per il funzionamento stesso del servizio di email. Questi includono informazioni come gli indirizzi email di mittente e destinatario, gli indirizzi IP dei server o dei dispositivi coinvolti nell’invio del messaggio, gli orari di invio, ritrasmissione e ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, talvolta, anche l’oggetto del messaggio.

Anche se i metadati non rivelano il contenuto dei messaggi, la loro raccolta e conservazione prolungata e sistematica può presentare rischi per la protezione dei dati personali dei dipendenti e per il monitoraggio a distanza delle attività lavorative.

Di conseguenza, il Garante Privacy ha ritenuto necessario emettere indicazioni specifiche sul trattamento di tali dati in ambito lavorativo, al fine di assicurare il rispetto dei principi di limitazione delle finalità, minimizzazione dei dati e protezione fin dalla progettazione e per impostazione predefinita, come sanciti dal GDPR.

Cos’è il Mail Transfer Agent (MTA)?

Un Mail Transfer Agent (MTA), conosciuto anche come Message Transfer Agent o mail relay, è un software responsabile del trasferimento delle email tra i computer di mittente e destinatario. L'MTA gioca un ruolo cruciale nel sistema di gestione della posta elettronica su Internet, gestendo tutto ciò che si verifica dall'invio fino alla consegna dell'email nella casella del destinatario.

Quando un'email viene inviata, l'MTA la riceve dal Mail Submission Agent (MSA), che a sua volta l'ha ottenuta dal Mail User Agent (MUA), il client di posta elettronica usato dall'utente. Una volta in possesso dell'email, l'MTA si occupa del suo inoltro, noto come relaying, trasferendo il messaggio ad altri MTA nel caso in cui il destinatario non sia ospitato localmente, fino a che non raggiunge il Mail Delivery Agent (MDA) che finalmente consegnerà l'email nella casella di posta del destinatario.

Gli MTA utilizzano il protocollo SMTP (Simple Mail Transfer Protocol) per inviare le email e possono adottare estensioni come ESMTP per funzionalità avanzate. Operano seguendo un modello store-and-forward, accodando la posta in uscita fino alla conferma di consegna o allo scadere di limiti temporali preimpostati. Se la consegna non avviene entro i tempi stabiliti, l'email viene restituita al client di posta.

Gli MTA rivestono quindi un ruolo fondamentale nella deliverability delle email, gestendo aspetti come la reputazione del mittente, il filtraggio dello spam, l'autenticazione delle email, l'ottimizzazione dei percorsi di consegna e la gestione degli errori di trasmissione.

Possono anche contribuire a proteggere e rafforzare la reputazione del mittente attraverso l'attivazione graduale di nuovi indirizzi IP, la configurazione di flussi di invio conformi ai limiti imposti dai domini dei destinatari e il reinvio delle email in caso di greylisting.

La scelta dell'MTA più adatto varia in base a diversi fattori, tra cui le specifiche esigenze dell'organizzazione, il volume di email da gestire, le funzionalità necessarie e il budget disponibile. Tra gli MTA più utilizzati troviamo Sendmail/Proofpoint, Postfix, Exim, OpenSMTP, Mutt, Alpine e Qmail, ognuno con le proprie caratteristiche distintive e vantaggi.

I metadati rappresentano le "impronte digitali" delle email: non contengono il contenuto delle email stesse, ma dettagli su di esse, come l'identità del mittente e del destinatario, il momento dell'invio, ecc.

L'MTA (Mail Transfer Agent) funge da "postino" digitale, prendendo l'email e consegnandola al server del destinatario. L'MUA (Mail User Agent) è invece il "client di posta" che utilizzi, come Outlook o Gmail, il software tramite cui leggi e invii le tue email.

Ad esempio:

  • Invio di un’email dal lavoro: quando invii un’email dal tuo account aziendale, l'MTA registra che hai inviato un’email a un tuo collega alle 10:00 del mattino. Questo è un metadato.
  • Ricezione di un’email su Gmail: quando ricevi un’email su Gmail, il MUA (Gmail) registra che hai ricevuto un’email da un amico alle 14:30. Questo è un altro esempio di metadato.

Registrazione automatica dei Metadati email

I metadati delle email menzionati nel documento di indirizzo del Garante includono una vasta gamma di informazioni riguardanti le operazioni di invio, ricezione e smistamento dei messaggi di posta elettronica.

Questi metadati possono comprendere:

  • Gli indirizzi email di mittente e destinatario
  • Gli indirizzi IP dei server o dei computer client coinvolti nell’instradamento del messaggi
  • Gli orari di invio, ritrasmissione e ricezione del messaggio
  • La dimensione del messaggio di posta elettronica
  • La presenza e la dimensione di eventuali allegati
  • In alcuni casi, a seconda del sistema di gestione della posta utilizzato, anche l’oggetto del messaggio spedito o ricevuto.

È fondamentale evidenziare che questi metadati, sia quelli di natura strettamente tecnica sia quelli determinati dagli utenti come l’oggetto, vengono registrati automaticamente dai sistemi di posta elettronica, senza che l’utilizzatore ne sia consapevole o possa esercitare un controllo diretto. Questo implica che tali informazioni vengono raccolte e conservate sistematicamente, indipendentemente dalla percezione o dalla volontà dell'utente.

Metadati Email vs Envelope

È essenziale differenziare i metadati delle email, come definiti nel documento di indirizzo del Garante, dalle informazioni presenti nel corpo del messaggio (body-part) o integrate nell'envelope, che consiste nell'insieme delle intestazioni tecniche strutturate che documentano l'instradamento del messaggio, la sua provenienza e altri parametri tecnici. I metadati qui descritti non devono essere confusi con le informazioni contenute nei messaggi di posta elettronica nella loro "body-part" (corpo del messaggio) o integrate in essi — anche se talvolta non sono immediatamente visibili agli utenti dei software client di posta elettronica (i cosiddetti MUA – Mail User Agent) — costituendo ciò che viene definito envelope, ovvero l'insieme delle intestazioni tecniche che tracciano l'instradamento del messaggio, la sua origine e altri dettagli tecnici.

In sintesi:

  • Metadati: informazioni tecniche registrate automaticamente (es. indirizzi email, orari).
  • Body-part: testo effettivo del messaggio.
  • Envelop: dettagli tecnici sull’instradamento del messaggio, parte del messaggio stesso.

I metadati nel contesto della posta elettronica presi in considerazione dal Garante includono:

  • Indirizzi email del mittente e del destinatario
  • Indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio.
  • Orari di invio, ritrasmissione o ricezione del messaggio.
  • Dimensione del messaggio.
  • Presenza e dimensione di eventuali allegati.
  • Oggetto del messaggio (in alcuni casi, a seconda del sistema di gestione del servizio di posta elettronica utilizzato).

Questi metadati vengono registrati automaticamente dai sistemi di posta elettronica e possono rivelare dettagli sull’utilizzo degli account di posta elettronica dei dipendenti, venendo conservati per lunghi periodi. A differenza dei metadati conservati nei log dei server di posta, che vengono raccolti e archiviati a prescindere dalla volontà degli utenti, le informazioni contenute nell'envelope sono intrinsecamente connesse al messaggio e non possono essere separate da esso. Di conseguenza, mentre i metadati dei log possono generare questioni relative alla protezione dei dati personali e al monitoraggio a distanza se raccolti e conservati indiscriminatamente e per tempi prolungati, le informazioni dell'envelope rimangono sotto il controllo dell'utente e sono protette come parte integrante della comunicazione.

Il Garante ha quindi ritenuto necessario fare questa distinzione per chiarire l’ambito di applicazione delle indicazioni fornite nel documento di indirizzo, concentrato specificamente sui metadati registrati automaticamente dai sistemi di posta elettronica e non sulle informazioni contenute nei messaggi stessi. Questo documento non introduce nuove regole o obblighi per i responsabili del trattamento dei dati. Il suo scopo è fornire una panoramica delle normative esistenti in questo ambito specifico, basandosi su precedenti decisioni dell’Autorità. L’obiettivo è richiamare l’attenzione su alcuni punti di intersezione tra le leggi sulla protezione dei dati e le norme che regolano l’uso delle tecnologie nei luoghi di lavoro.

In questa ottica, l’Autorità ha fornito ai datori di lavoro delle linee guida su come trattare tali informazioni per garantire il corretto funzionamento e l’uso appropriato del sistema di posta elettronica, inclusa la necessaria sicurezza informatica. Questo può essere realizzato senza necessità di attivare la procedura di garanzia prevista dall’art. 4, comma 1, della legge 20/5/1970, n. 300, come richiamato dall’art. 114 del Codice. Essendo di natura orientativa, il documento di indirizzo non introduce nuovi adempimenti o responsabilità.

Dopo le osservazioni e le proposte ricevute dal Garante durante la consultazione pubblica a cui è stato sottoposto il documento (provvedimento del 22 febbraio 2024, n. 127, doc. web n. 9987885; Gazzetta Ufficiale n. 64 del 16 marzo 2024), sono state effettuate alcune modifiche e integrazioni al documento di indirizzo.

Tutela costituzionale email dipendenti

Il Garante ha costantemente affermato che il contenuto dei messaggi di posta elettronica, i dati esteriori delle comunicazioni e i file allegati costituiscono forme di corrispondenza protette da garanzie di segretezza tutelate anche a livello costituzionale. In particolare, gli articoli 2 e 15 della Costituzione italiana proteggono il nucleo essenziale della dignità della persona e il pieno sviluppo della sua personalità nelle formazioni sociali. Questo implica che, sia nel contesto lavorativo pubblico che privato, esista una legittima aspettativa di riservatezza per i messaggi che costituiscono oggetto di corrispondenza.

Il Garante ha ribadito questo principio nelle “Linee guida per posta elettronica e Internet” del 1° marzo 2007 (punto 5.2 lett. b), doc. web n. 1387522), nonché in numerosi provvedimenti successivi, tra cui il provvedimento del 4 dicembre 2019, n. 216 (doc. web n. 9215890) e i precedenti in esso citati.

Riassumendo per punti in base alle Linee guida per posta elettronica e Internet (1° marzo 2007):

  • Uso conforme della posta elettronica aziendale.
  • Regolamentazione dell’accesso a Internet.
  • Monitoraggio proporzionato e trasparente.
  • Misure di sicurezza per proteggere i dati.

Provvedimento del 4 dicembre 2019, n. 216:

  • Conformità con GDPR e normative nazionali.
  • Limitazione e protezione dei metadati delle email.
  • Trasparenza e informazione agli utenti.
  • Adozione di misure di sicurezza tecniche e organizzative.

Misure di Sicurezza

Le misure di sicurezza richieste comprendono l'utilizzo di tecnologie di crittografia per salvaguardare i dati personali durante il loro trasferimento e la loro conservazione. È essenziale implementare sistemi di autenticazione robusti per regolare l'accesso ai dati e assicurare che solo il personale autorizzato possa accedere alle informazioni sensibili. Le aziende devono inoltre condurre regolari valutazioni del rischio e audit di sicurezza per identificare e mitigare eventuali vulnerabilità.

Si raccomanda l'utilizzo di firewall e software antivirus sempre aggiornati per proteggere i sistemi contro attacchi esterni. È altresì importante predisporre piani di risposta agli incidenti per gestire le eventuali violazioni dei dati in modo tempestivo ed efficace.

Prescrizioni del Garante Privacy

Il Garante Privacy ha stabilito che le aziende sono tenute a informare chiaramente gli utenti sulle modalità e le finalità del trattamento dei loro dati personali, inclusi i metadati delle email. È essenziale ottenere il consenso esplicito degli interessati prima di procedere con il trattamento dei loro dati. Le organizzazioni devono adottare politiche trasparenti e fornire informazioni dettagliate sugli strumenti di monitoraggio impiegati.

Il Garante ha inoltre imposto limitazioni sulla raccolta dei metadati e ha regolato la loro conservazione, precisando che devono essere mantenuti solo per il tempo strettamente necessario alle finalità dichiarate. Le aziende devono assicurare che i dati personali siano trattati in modo lecito, corretto e trasparente, rispettando i diritti degli interessati.

______

Per approfondimenti o eventuali dubbi su come queste nuove direttive influenzeranno le operazioni aziendali e le migliori prassi per assicurare la conformità, i nostri esperti sono a vostra disposizione. Contattaci e saremo lieti di aiutarti!

Gianni Montecchio

Gianni Montecchio

DPO e Consulente privacy

Iscriviti alla nostra Newsletter!

Rimani sempre aggiornato e ricevi novità e consigli utili.

Grazie per esserti iscritto alla nostra newsletter.
Ops! Qualcosa è andato storto.

Articoli Recenti

Articoli Recenti

Società di consulenza aziendale ed ente di formazione accreditato dalla Regione del Veneto.

Via del lavoro 4, 35040 Boara Pisani (PD)
0425485621
info@e-cons.it
Lavoro
Assegno lavoro
Sportello lavoro
Reinserimento lavorativo
Agenzia per il lavoro
Disponibilità tirocinanti
Formazione
Corsi per disoccupati
Formazione
e-learning
Company
Chi siamo
Certificazioni
FSE progetti approvati
Contatti
Il nostro staff
logo accreditamento Regione Veneto
Formazione continua
Formazione superiore
Servizi al lavoro
Agenzia del lavoro
logo consorzio EPIC
e-cons aderisce
Consulenza privacy
Servizio DPO
Audit
GPS
Videosorveglianza
Amministratore di sistema

Copyright ©2022 e-cons.it

Facebook e-consLinkedIn e-consInstagram e-cons

E-CONS S.R.L.– Via del Lavoro 4 – 35040 Boara Pisani (PD) Tel: 0425-485621 – P.IVA – C.F. – Registro Imprese di Padova N. 01171060294 -PEC: e-cons@legalmail.it – Codice SDI: SUBM70N — Capitale Sociale 25.500 i.v.

Daniele Borsato
Telefonami
Invia e-mail
Telefonami
Invia e-mail
Telefonami
Invia e-mail
Telefonami
Invia e-mail