Protezione dei metadati e regolamentazione delle autorità di protezione dei dati: un’analisi comparativa tra CNIL e il Garante italiano

Introduzione

I metadati, nella loro accezione più ampia, comprendono informazioni dettagliate su vari aspetti quali la data e il luogo di creazione, il formato, le modifiche subite e le persone coinvolte nella gestione dei dati stessi. Essi rappresentano, dunque, un complemento essenziale dei dati principali, ma altresì un elemento per la loro comprensione e utilizzo. La capacità dei metadati di offrire una descrizione esaustiva e dettagliata ne fa un elemento imprescindibile per la catalogazione, la tracciabilità e l'organizzazione delle informazioni. Esigenze, peraltro, a più battute richieste anche dalla normativa sulla protezione e sicurezza delle informazioni. La definizione dei metadati, sebbene variabile nelle specifiche tecniche, converge su un aspetto essenziale: la loro funzione descrittiva e contestuale rispetto ai dati principali. Secondo la Commission Nationale de l'Informatique et des Libertés (CNIL), i metadati includono dettagli come il momento e il luogo di creazione, le modifiche subite e le persone coinvolte nella loro gestione. Analogamente, il Garante italiano sottolinea come i metadati contengano informazioni rilevanti quali la data e l'ora di creazione, l'identità dei creatori e la natura delle modifiche apportate. Nonostante i metadati possano sembrare strumenti di pura funzionalità tecnica, dagli eccessi nella loro raccolta conseguono preoccupazioni rilevanti per la tutela della privacy e la sicurezza delle informazioni personali. Tali dati ausiliari rivelano una ricchezza di dettagli che, una volta aggregati, possono offrire una visuale profondamente invasiva sulla vita privata degli interessati.

La natura stessa dei metadati è tale che, pur non contenendo i contenuti specifici delle comunicazioni o dei documenti, forniscono un contesto dettagliato che può essere utilizzato per tracciare le attività e le interazioni personali. Informazioni come l'ora e la frequenza delle comunicazioni, la posizione geografica, le relazioni tra diverse entità e le modifiche apportate ai dati, permettono di ricostruire non solo i movimenti e le abitudini, ma anche di creare profili comportamentali dettagliati.

In considerazione dei rischi intrinseci associati alla gestione dei metadati, le Autorità per la protezione dei dati personali in Francia e in Italia si sono soffermante sull'analisi della raccolta dei metadati per esaminare le implicazioni di tali pratiche. 

La CNIL ha esaminato le questioni relative alla sicurezza dei dati personali in un documento che, pur non essendo focalizzato esclusivamente sui metadati, riconosce la necessità di verificare la correttezza e la legalità delle operazioni di trattamento di questi ultimi.  

Parallelamente, l'Autorità garante per la protezione dei dati personali ha pubblicato un documento di indirizzo che riveste una particolare rilevanza nel contesto della gestione dei metadati nel contesto lavorativo.

La Guida della CNIL

Il documento intitolato “Guide de la Sécurité des Données Personnelles” costituisce una direttiva provvedimentale nel panorama francese per la gestione e la protezione dei dati personali. Il testo fornisce una guida sulle migliori pratiche da adottare per la sicurezza delle informazioni in un contesto caratterizzato da un'intensa digitalizzazione e da una crescente complessità tecnologica.

La finalità del provvedimento risiede nel fornire un quadro operativo per la protezione dei dati personali, in un contesto che pone sempre maggiore attenzione alle questioni di sicurezza e riservatezza. Il documento si prefigge di consolidare e armonizzare le pratiche di gestione dei dati, allo scopo di garantire la conformità alle normative vigenti. Il documento intende promuovere un approccio sistematico e rigoroso alla protezione dei dati, che includa la minimizzazione dei rischi e l'adozione di misure proattive per prevenire le violazioni della privacy e garantire la tutela dei diritti degli interessati. Il dispositivo si articola in diverse sezioni, ciascuna delle quali affronta aspetti specifici della sicurezza dei dati. La sezione introduttiva del documento offre una panoramica completa del contesto normativo sia a livello europeo che francese. Si tratta di un'esplicazione dei valori cardine che sono alla base delle politiche di protezione dei dati, come la minimizzazione della raccolta, la trasparenza nella gestione e la responsabilità delle organizzazioni. Il cuore del documento è rappresentato dalla sezione sulle misure tecniche e organizzative. L'incremento esponenziale della raccolta e del trattamento dei dati personali ha esposto tali informazioni a una serie di rischi nuovi e complessi. La gestione dei rischi è concepita come un processo continuo e integrato, che richiede una costante valutazione delle minacce e l'adozione di misure preventive adeguate. La CNIL pone l'accento sulla necessità di un monitoraggio e di aggiornamenti tempestivi delle misure di sicurezza, al fine di garantire una reattività efficace alle minacce emergenti e una protezione proattiva delle informazioni. La sicurezza delle informazioni, nel contesto moderno, non può prescindere dalla gestione accurata dei metadati, i quali, sebbene spesso relegati a un ruolo secondario, rappresentano una componente intrinseca alla protezione e alla gestione dei dati personali. La raccolta dei metadati, infatti, è intimamente legata al funzionamento degli applicativi utilizzati per garantire la sicurezza delle informazioni. Invero, i sistemi di sicurezza moderni, per poter operare efficacemente, necessitano della raccolta di metadati che forniscono minuzie descrittive sulle operazioni svolte. Tuttavia, l'inadeguata gestione dei metadati può rivelare informazioni riguardo alle abitudini, ai comportamenti e alle preferenze personali. Tali dati, se raccolti in maniera indiscriminata, espongono le informazioni personali a rischi di profilazione e a un pericolo di una sorveglianza indebita e invasiva. La raccolta e l'analisi dei metadati consentono, infatti, alle organizzazioni di monitorare, spesso senza consapevolezza da parte degli interessati, le attività e i movimenti di costoro. A ciò si unisce l'evenienza di re-identificazione. Invero, anche quando i dati personali sono stati oggetto di processi di anonimizzazione, i metadati possono contenere informazioni sufficienti per risalire all'identità degli individui attraverso l'analisi dettagliata dei modelli comportamentali e delle caratteristiche distintive.

L'invasività del processo, che è strettamente correlata all'efficacia delle misure di sicurezza adottate, deve essere oggetto di un'analisi approfondita da parte del titolare del trattamento. Il bilanciamento che ne deriverà dovrà essere il frutto di una valutazione accurata dell'impatto, e dovrà essere perseguito attraverso l'adozione di metodologie specifiche volte a prevenire la realizzazione di una sorveglianza comportamentale. La CNIL sottolinea l'importanza di estendere l'applicazione di misure di sicurezza specifiche a tutte le fasi di trattamento dei metadati, comprendendo la raccolta, l'elaborazione e la consultazione. L'intera gestione deve essere inserita in un quadro capace di garantire la minimizzazione dei dati raccolti e in maniera trasparente affinché la natura e lo scopo della raccolta dei metadati siano resi espliciti e comprensibili agli utenti, la cui raccolta spesso avviene in maniera silente e inconsapevole.

Il documento d'indirizzo del Garante per la protezione dei dati personali sui metadati

In Italia, l'Autorità Garante con il Documento di indirizzo sui programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati ha rilevato l'impatto della raccolta dei metadati nella gestione dell'e-mail aziendale e rischi attinenti ad una sorveglianza constante nel contesto lavorativo. Nel documento, l'Autorità ha precisato che le operazioni di raccolta e conservazione dei metadati, indispensabili per il corretto funzionamento delle infrastrutture di posta elettronica, devono essere limitate a un arco temporale breve. L'intervallo di tempo non dovrebbe eccedere le poche ore o al massimo alcuni giorni, con un limite massimo di sette giorni. Il riferimento alle e-mail aziendali richiama inevitabilmente l'applicazione dell'art. 4 dello Statuto dei lavoratori. La norma, esplicitamente richiamata anche nell'art. 114 del Codice privacy, costituisce il fondamento giuridico per la gestione dei dati “tecnologici” dei lavoratori, tenendo conto della particolare invasività che la tecnologia, e i controlli ad essa associati, possono comportare. Il Garante specifica che la raccolta e la conservazione dei metadati possono rientrare nell'ipotesi di utilizzo dello strumento di lavoro contemplato dall'art. 4, comma 2, dello Statuto dei Lavoratori. Tuttavia, una raccolta e conservazione prolungata dei metadati, anche se motivata dalla necessità di garantire la sicurezza informatica e proteggere l'integrità del patrimonio aziendale, inclusi i dati, può implicare un controllo indiretto sull'attività dei lavoratori. Tale evenienza richiede quindi l'applicazione delle garanzie stabilite dall'art. 4, comma 1, della Legge n. 300/1970 qualora la conservazione sia superiore ai sette giorni. La legittimità del trattamento e della conservazione sarà pertanto condizionata alla conclusione di un accordo sindacale, o in mancanza di un'autorizzazione amministrativa da parte dell'ente competente. Il Garante sottolinea l'obbligo per il datore di lavoro di verificare i programmi e i servizi di gestione della posta elettronica utilizzati dai dipendenti, specialmente quando questi servizi sono forniti attraverso soluzioni cloud o in formula as-a-service. Gli strumenti in questione devono consentire al datore di lavoro di personalizzare le impostazioni predefinite per bloccare la raccolta dei metadati o limitarne la conservazione a un massimo di sette giorni, con la possibilità di estendere tale periodo di ulteriori 48 ore in specifiche condizioni precedentemente definite. Qualora, però, l'uso di tali dati si riveli indispensabile per soddisfare necessità organizzative o produttive, i datori di lavoro, sia nel settore pubblico che privato, in qualità di titolari del trattamento, dovranno attuare le procedure di garanzia richieste dalla normativa specifica (articolo 4 della Legge n. 300/1970).  All'indomani dell'entrata in vigore del provvedimento, le parti sociali interessate hanno manifestato perplessità, sollecitando chiarimenti specifici. Le preoccupazioni principali riguardano la gestione del processo, come previsto dal primo comma dell'art. 4 dello Statuto dei Lavoratori. Per rispondere alle numerose istanze di chiarimento ricevute, il Garante ha ritenuto opportuno posticipare l'entrata in vigore del documento di indirizzo e avviare una consultazione pubblica della durata di 30 giorni. L'intento di tale consultazione è di raccogliere contributi, opinioni e proposte riguardo alle modalità di utilizzo che potrebbero legittimare una conservazione dei metadati per un periodo superiore a quello stabilito nel documento di indirizzo.  

L'intervento del Garante qui analizzato non costituisce un unicum nella giurisprudenza dell'Autorità. La stessa, infatti, era già intervenuta in passato con il provvedimento [doc. web n. 9833530], Ordinanza di ingiunzione nei confronti di Regione Lazio del 2022, con la quale aveva ha dichiarato illecito il controllo svolto dalla Regione Lazio sui metadati della posta elettronica aziendale dei dipendenti ingiungendo il pagamento della somma di 100.000 euro. La Regione Lazio aveva giustificato l'iniziativa di effettuare tali controlli con la necessità di verificare presunti comportamenti illeciti da parte dei dipendenti, che avrebbero potuto danneggiare l'immagine dell'Amministrazione. In particolare, la difesa della Regione Lazio aveva argomentato che il controllo fosse legittimo ai sensi del secondo comma dell'art. 4, il quale stabilisce che gli strumenti necessari per l'esecuzione della prestazione lavorativa – includendo quindi le e-mail – non ricadono nell'ambito di tutela del primo comma della norma. A seguito dell'attività istruttoria, l'Autorità Garante per la protezione dei dati personali ha rilevato una violazione da parte dell'Amministrazione per mancata trasparenza, illiceità dei controlli e un periodo di conservazione eccessivo dei metadati. Secondo il Garante, l'informativa ex art. 13 GDPR fornita ai lavoratori non dettagliava adeguatamente le operazioni di trattamento delle e-mail, menzionando solo genericamente la possibilità di controllo senza specificarne la base giuridica e le modalità.  Il Garante ha richiamato la sentenza della Corte Europea dei Diritti dell'Uomo nella causa Barbulescu c. Romania, che sottolinea l'obbligo di trasparenza per permettere ai lavoratori di essere consapevoli delle caratteristiche del trattamento dei dati prima che esso inizi. Ha inoltre ribadito che la corretta informazione è una condizione essenziale ai sensi dell'art. 4 dello Statuto dei Lavoratori, indipendentemente dall'applicazione del primo o del secondo comma. La conservazione dei metadati, anche se giustificata per motivi di sicurezza informatica, può comportare un controllo a distanza dei lavoratori, che è permesso solo in specifiche circostanze e con garanzie procedurali, tra le quali rientra la corretta applicazione dell'art. 4 dello Statuto dei lavoratori.

Le decisioni dell'Autorità a confronto

Sia la CNIL che l'Autorità Garante italiana riconoscono l'importanza della trasparenza nella gestione dei dati personali e dei metadati, inscrivendo nelle loro direttive principi che assicurano agli individui una consapevolezza completa riguardo alle modalità di trattamento dei propri dati. Entrambe le istituzioni sottolineano la necessità di garantire che le informazioni fornite siano chiare, esaustive e accessibili, in modo da permettere una comprensione piena e approfondita delle finalità e delle operazioni di trattamento che coinvolgono i dati personali degli interessati. Un punto di convergenza tra le due autorità è la protezione contro la sorveglianza indebita e l'uso improprio dei metadati per il controllo degli interessati. La CNIL avverte dei rischi di una gestione inadeguata dei metadati che potrebbe portare a profilazioni non autorizzate e sorveglianza invasiva. Parallelamente, l'Autorità Garante italiana sottolinea che la raccolta e la conservazione dei metadati devono essere limitate rigorosamente a ciò che è strettamente indispensabile, specificando che qualsiasi utilizzo che possa comportare un controllo indiretto sui lavoratori richiede garanzie procedurali e legali ben definite. Sia la CNIL che l'Autorità Garante italiana condividono le preoccupazioni, emerse anche a livello europeo, relative ai rischi di sorveglianza digitale connessa all'uso e allo sviluppo delle nuove tecnologie. Le indagini avviate dall'EDPB sull'utilizzo dei servizi cloud da parte delle istituzioni europee, che coinvolgono grandi fornitori come Amazon e Microsoft, evidenziano la necessità di una supervisione più stringente e di politiche che garantiscano la protezione dei dati personali contro possibili abusi. La natura stessa delle tecnologie cloud, che implicano la raccolta e la conservazione di grandi quantità di metadati, richiede un approccio proattivo per prevenire l'uso improprio di tali informazioni.

L'approccio delle Autorità italiana e francese tende a condividere l'attenzione sulle conseguenze della raccolta e gestione dei metadati, un'evenienza sempre più rilevante nell'odierno panorama tecnologico e lavorativo. La CNIL riconosce l'importanza critica dei metadati, non solo come strumenti di supporto per la sicurezza dei sistemi informatici, ma anche come potenziali fonti di rischio per la privacy degli interessati. L'attenzione principale dell'autorità italiana è la protezione dei diritti dei lavoratori nel contesto della gestione delle e-mail aziendali e dei metadati associati per limitarne la conservazione potenzialmente invasiva per i dipendenti. Nonostante le apparenti divergenze di approccio delle due Autorità, anche la Francia ha rivolto l'attenzione sulla questione relativa alla sorveglianza dei lavoratori. Il caso emblematico di Amazon in Francia ha rivelato come la raccolta continua, costante e massiva di metadati possa determinare un impatto critico sulla libera autodeterminazione dei lavoratori. La CNIL ha accertato, infatti, che Amazon ha implementato sistemi di monitoraggio che permettevano una sorveglianza pervasiva delle attività dei dipendenti, senza garantire la necessaria trasparenza riguardo agli scopi e alle modalità di raccolta dei dati.

In conclusione 

Sebbene la raccolta dei metadati possa essere giustificata da esigenze di sicurezza e protezione delle informazioni, il fenomeno pretende una riflessione etica e un'attenzione costante per evitare che si trasformi in una sorveglianza pervasiva e invasiva per gli utenti. Occorre, tuttavia, rivolgere una considerazione critica sulle grandi aziende tecnologiche che impongono condizioni contrattuali rigide e difficilmente negoziabili. Tale scenario potrebbe comportare un'asimmetria di potere che influenza la gestione dei dati e incide negativamente sull'equità della data governance nelle organizzazioni.