Contributo inviato da Enzo Luongo – Consiglio Direttivo UNIDPO
I metadati sono i dati sui dati ovvero un insieme di informazioni su altri dati. In pratica, si tratta di un dato che descrive una qualche proprietà di un altro dato. In senso lato è un’informazione a proposito di un’altra informazione.
Un esempio tipico di metadati è costituito dalla scheda del catalogo di una biblioteca, la quale contiene informazioni circa il contenuto e la posizione di un libro, cioè dati riguardanti più dati che si riferiscono al libro.
Nel nostro caso tali metadati sono “stringhe descrittive” di una e-mail che rappresentano le sole caratteristiche/proprietà, senza rivelarne il contenuto con eventuali allegati.
Il provvedimento del Garante chiarisce che:“[I metadati] non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate”; tecnicamente si tratta di “informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni client (MUA = Mail User Agent)”.
In altri termini, i metadati includono: indirizzi e-mail di mittente e destinatario, indirizzi IP dei server o client coinvolti, orari di invio, ritrasmissione o ricezione, dimensione del messaggio, presenza e dimensione di eventuali allegati e, a volte, l’oggetto del messaggio.
Ma sono dati registrati automaticamente dai sistemi di posta elettronica (!), senza alcun intervento dell’utente, e non vanno in alcun modo confusi con il contenuto del corpus del messaggio di testo/e-mail.
Poi, sempre il provvedimento del Garante spiega che questi metadati formano “il cosiddetto envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici”; conclude chiarendo che dette informazioni “ancorché corrispondenti a metadati registrati automaticamente nei log dei servizi di posta, sono inscindibili dal messaggio di cui fanno parte integrante e che rimane sotto l’esclusivo controllo dell’utente”.
In parole più semplici, le informazioni dell’envelope sono inseparabili dall’email di cui ne costituiscono parte integrante, ma devono essere sotto il controllo esclusivo dell’utente, sia esso il mittente o il destinatario dei messaggi.
Ne consegue che i Titolari del trattamento dovranno adottare tutte le misure necessarie a conformare i propri trattamenti.
In particolare, spetterà al Titolare del trattamento verificare che i programmi e servizi informatici di gestione della posta elettronica, specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service, consentano all’utente/cliente, cioè il Titolare del trattamento, di poter modificare le impostazioni di default e la manomissione fino alla cancellatura dei log di sistema, impedendo la raccolta dei metadati o limitandola, anche tenuto conto della previsione di un limite massimo di 21 giorni.
In ogni caso, le indicazioni contenute nel documento di indirizzo, “devono considerarsi valide anche nel caso in cui, in ambito pubblico, i programmi e servizi informatici […] siano acquistati mediante le convenzioni/piattaforme che le pubbliche amministrazioni devono o possono utilizzare per l’acquisto di beni e servizi”.
In pratica, valgono per tutti i Titolari di trattamento.
C’è però al momento un intoppo ed è senza possibile soluzione.
Per soddisfare le indicazioni del Provvedimento del Garante è necessario poter accedere “con le credenziali di amministratore” (!) ai log del proprio server di posta, (non il client dell’utente finale), il che non è al momento possibile.
I provider di servizi di posta non concedono affatto tale ‘privilegio’ nemmeno a pagamento.
A meno che il server di posta sia gestito su hardware ‘in proprio’ (outsourcing) compreso se su hardware presso una ‘farm’ di un Isp. Avere il privilegio di poter modificare a piacimento i settaggi ‘del server’ di posta, e perfino i log del server, interferisce con gli obblighi legali che i fornitori di servizi che hanno, ossia: mantenere traccia dei messaggi e dei loro metadati per 6 anni almeno! (ben oltre ogni lasso di tempo previsto dal Garante).
Tale conservazione non può essere privilegio dell’utente “abbonato al servizio di posta”.
In taluni rarissimi casi è possibile accedere con account di ‘amministratore con privilegi limitati’ ai server di posta, ma solo per poter cambiare qualche impostazione di default, che non riguarda affatto né i log né il timing di memorizzazione dei messaggi di posta sul server (90 giorni). Il timing è l’intervallo di tempo nel quale il messaggio è visibile all’utente che consulta la propria casella e tale tempo limite termina con il backup dei messaggi che il fornitore dei servizi fa per conservare per 6 anni i messaggi più vecchi di 90 giorni. Ma mai si può accedere per modificare e/o cancellare i metadati o l’intervallo di tempo (imposto legalmente) per la conservazione delle mail scambiate dal server compresi i metadati associati.
Dunque, c’è un totale contrasto tra quanto necessario per avere compliance e quanto possibile con i servizi attuali di posta.
Né i servizi di Microsoft, né quelli di Google o di altri fornitori di servizi di posta fanno accedere ai ‘log di sistema’ di un server di posta. Questi problemi sono stati sollevati anche nella Community di Microsoft dagli utenti di Microsoft Exchange (come server di posta) e basta leggere la domanda a pag.2 di Marco CN del 04-09-2024 (verso la fine della pagina), al seguente link:
[“Sarebbe davvero utile e gradita una risposta chiara e netta.
1. Microsoft è in grado di adeguare i sistemi alle indicazioni date dal garante?
2. Se no, Microsoft sta trattando con il garante, nel caso si possa definire una “eccezione” dettata da esigenze tecniche del provider?
Altrimenti tutte le aziende che hanno come provider Microsoft, dovranno o stilare un accordo sindacale e aggiornare le informative o cambiare provider. E senza una risposta chiara in merito, resta solo l’ultima.]
Riepilogando:
- Se non si può accedere come amministratore del ‘proprio’ server di posta, quindi ai log di sistema, (non come gestore delle caselle) non è al momento possibile eliminare i soli metadati nel termine prescritto dal provvedimento dal server che li ospita, né dai successivi supporti sui quali verranno legalmente conservati dopo un backup periodico;
- Avendo l’accesso ‘parziale’ si possono modificare impostazioni di default e ‘forse in certi casi’ la durata massima di memorizzazione dei metadati sul server (21 giorni) che però contrasta con le disposizioni legali;
- Il gestore del server nonostante le cancellazioni che se mai potrebbe accettare di fare in qualche modo e con mille titubanze, conserverà il backup della posta per 6 anni, mail e metadati, anche contro la volontà dell’utente;
- L’unica possibilità è “chiedere che i fornitori dei servizi di posta attestino di essere conformi alle disposizioni del Garante, perché sono proprio loro i Responsabili incaricati dal Titolare (quando questi accetta il contratto di fornitura);
- Per quanto attiene l’utente finale che riceve mail e metadati (ovvio) può conservare le mail anche oltre il tempo prescritto nel provvedimento del Garante (è previsto nel provvedimento), giustificandone opportunamente la necessità o l’impossibilità ad estrarne i metadati per ragioni legali, informando immediatamente gli interessati circa questa scelta;
- L’utente finale potrà così conservare le email con i metadati anonimizzandole, crittografandole e conservandole su supporto crittografato a sua volta, avendo fatto però precedentemente un backup (crittografato) della casella con tutti contenuti e conservandolo su supporto (a sua volta crittografato).
- Tutte queste condizioni, le scelte e le decisioni devono risultare nel registro dei trattamenti, per non incorrere in violazioni del GDPR.
Al momento non c’è altra possibilità reale di essere conformi, oltre a sogni velleitari.