12 Dic 2018

Usare una email gratuita per scopi professionali o aziendali: si può?

Dall'introduzione del GDPR ci si interroga su quali servizi si possano o non possano utilizzare e a quali condizioni, per non violare i requisiti del GDPR.

Una delle domande che più spesso ci è stata rivolta è se la "casella di posta" aziendale sia coinvolta dal regolamento GDPR e se ci sia differenza tra una casella gratuita (tipo gmail.com o libero.it) ed una aziendale su proprio dominio.

E che cosa c'entra una casella di posta con il trattamento dei dati personali?

Fondamentalmente una casella di posta tratta due tipi di dati personali:

1) La rubrica: ormai qualunque fornitore vi fornisce una casella nel cloud che gestisce anche la rubrica dei vostri contatti, spesso in maniera automatizzata (ad esempio inserendo in rubrica ogni destinatario delle vostre comunicazioni)

2) I contenuti delle email: oggigiorno chiunque vi fornisca una casella vi fornisce anche uno spazio in cui le email ricevute e inviate rimangono per mesi se non anni (giga su giga di posta elettronica) e non più solamente un canale temporaneo dal quale periodicamente scaricate i messaggi e li cancellate (POP3), quindi, di fatto, mantiene (tratta) per conto vostro un archivio di dati.

Ma rubrica e contenuti sono dati personali anche quando usati in ambito professionale?

Quasi sempre sì: un indirizzo nomedipendente@dominiodellazienda.com si configura già come dato personale, tanto più se associato all'indirizzo avete anche il nome e cognome del referente. Email inviate e ricevute possono contenere informazioni che ricadono nella definizione del GDPR di dati che possono essere ricondotti ad una persona fisica. Non tutte le email ricadranno in questa definizione, ma basta che ce ne sia una ogni tanto per costringerci a trattare l'intero archivio come archivio contenente dati personali.

OK, sono dati personali, quindi posso usare la mia casella Gmail o no?

Come abbiamo visto in un articolo precedente, per poter trasferire dati personali ad un fornitore è necessario:

1) Assicurarsi che tale fornitore possa garantire la sicurezza e l'adeguatezza rispetto ai requisiti del GDPR

2) Nominare il fornitore responsabile del trattamento di tali dati.

Per il primo punto i principali fornitori di caselle di posta forniscono adeguate documentazioni e dichiarazioni di conformità, quindi ci concentreremo sul secondo.

Come si fa a nominare Google (o altro fornitore) responsabile del trattamento dei dati?

Il problema è proprio questo: Google non ci risulta accetti di essere nominato responsabile del trattamento per i dati che veicolate sul servizio gratuito gmail.com. Sulla falsa riga di Google ci risulta che nessun altro fornitore di caselle "gratuite" (freemail) permetta questo tipo di nomina.

Ma nell'articolo precedente abbiamo visto che non sempre questa nomina è necessaria: ci sono casi in cui le condizioni di servizio (Term of Service) includono i termini contrattuali e la nomina stessa contestualmente al resto del contratto che vi lega e altri casi in cui viene messa a disposizione una contrattualizzazione integrativa (DPA: data processing addendum) che permette la nomina senza dover interagire con un rappresentante del fornitore che accetti tale nomina.

Abbiamo controllato le condizioni di servizio di Gmail.com, quelle di Outlook.com e quelle di Libero.it e, al momento, non abbiamo trovato clausole richieste dal GDPR: secondo noi, quindi, queste caselle non sono utilizzabili per scopi professionali perchè si configurerebbe una violazione dei requisiti del GDPR e di tale violazione sareste responsabili voi, per aver inserito dati che non sono vostri, ma di vostri clienti, nel loro sistema, senza avere un contratto che renda questi fornitori responsabili del trattamento.

Nel caso di Libero, avendo noi una casella "Plus" (quindi a pagamento), abbiamo chiesto alla loro assistenza qualche mese fa e subito ci hanno risposto che non era possibile nominarli responsabili, poi viste le nostre perplessità sul fatto che per una casella pagata e fatturata non fosse possibile ottemperare ai requisiti del GDPR, alla fine ci hanno confermato che in questo caso serviva una nomina, specificando "nomina, di vostra competenza" e rimandando ad una futura procedura per agevolare la nomina in via di predisposizione. Dopo l'apertura di 3 ticket nell'arco di 6 mesi, sono riuscito ad ottenere da loro un'ammissione che la nomina è necessarie e l'invio di un documento per la nomina a responsabile del trattamento di ItaliaOnLine per quanto riguarda la casella "Libero Mail Plus". Mi lascia comunque dubbioso la formula con la quale mi hanno "liquidato"

Può utilizzare il modulo per la nomina di Italiaonline quale Responsabile del Trattamento ai fini GDPR
Non è necessario che ce lo restituisca.

Come non è necessario? La Nomina per il GDPR deve essere contrattualizzata. Non è sufficiente che io nomini qualcuno, ma mi devo assicurare che lui abbia accettato la nomina e le responsabilità che ne derivano. Quindi mi risulta anomalo che, non essendo parte delle condizioni di servizio "pubbliche" che contrattualizzano l'erogazione della casella, il fatto che io firmi un documento di nomina e lo tenga per me abbia alcun valore. Tecnicamente non uso quella casella e quindi non mi sono spinto oltre, ma se la usassi cercherei di avere una firma che certifichi il fatto che sono responsabili del trattamento.

Ma c'è qualche fornitore che oggi fornisce le garanzie richieste e che può essere nominato responsabile del trattamento?

Sì, qualcuno c'è.

Abbiamo verificato le condizioni di servizio di Office 365 (anche Exchange Online) che riportano una sezione piuttosto palese:

La Società e Microsoft accettano che la Società sia il titolare del trattamento dei Dati Personali inclusi nei Dati del Supporto e che Microsoft sia il responsabile del trattamento di tali dati, tranne nei casi in cui la Società agisca in qualità di responsabile del trattamento dei Dati Personali, nel qual caso Microsoft sarà un altro responsabile del trattamento. Tuttavia, Microsoft e la Società accettano che Microsoft sia il titolare del trattamento per quanto riguarda le informazioni di contatto aziendali o altri Dati Personali che potrebbero essere raccolti insieme ai Dati per il Supporto, ma che sono necessari per garantire le relazioni commerciali con la Società. Microsoft tratterà i Dati Personali solo in base a istruzioni documentate della Società. La Società accetta che il suo contratto multilicenza, incluse le Condizioni per l’Utilizzo dei Servizi Online, unitamente all’utilizzo da parte sua dei Servizi Professionali costituiscono l’insieme completo e finale di istruzioni documentate fornite a Microsoft per il trattamento dei Dati Personali. Eventuali istruzioni aggiuntive o alternative dovranno essere concordate in conformità al processo di modifica del contratto multilicenza della Società. In tutti i casi in cui si applica il GDPR e la Società è un responsabile del trattamento, la Società garantisce a Microsoft che le proprie istruzioni, inclusa la nomina di Microsoft a responsabile del trattamento o ad altro responsabile del trattamento, sono state autorizzate dal titolare del trattamento specifico.

Allo stesso modo le condizioni di servizio di GSuite (ex Google Apps) servizio Google rivolto alle aziende che consente, tra le altre cose di avere caselle email simili a Gmail ma "aziendali" spiegano come, direttamente all'interno del servizio sia possibile procedere all'inserimento dei dati del titolare e alla formalizzazione della nomina a responsabile di Google. Google propone un DPA (versione 2.1) e un documento di Clausole Contrattuali Tipo (mcc) che forniscono tutti i dettagli contrattuali richiesti dal GDPR.

In ultimo abbiamo verificato con piacere che le condizioni generali di servizio di Aruba includono la nomina a responsabile del trattamento:

23. Nomina a Responsabile del Trattamento

Per effetto del perfezionamento del presento contratto il ai sensi di quanto previsto dal Regolamento UE 2016/679 e dalla normativa vigente in materia, il Cliente, in qualità di Titolare dei dati personali da questi trattati mediante il Servizio prescelto tra quelli oggetto delle presenti Condizioni oltre che per il servizio di Hosting disciplinato nella presente sezione, e così come disciplinato di volta in volta nelle relative sezioni speciali di questo Contratto, nomina Aruba con sede legale in Ponte San Pietro (BG), Via San Clemente n° 53, P.IVA 01573850516 in persona del suo legale rappresentante p.t. (in seguito “Aruba”), Responsabile del trattamento dei dati personali, con la descrizione dettagliata dei compiti ed oneri ai quali sarà tenuta in virtù di tale ruolo.-

Abbiamo provato a contattare anche Register.it lo scorso Maggio per sapere se era possibile nominarli responsabili del trattamento ma in quel momento non era possibile e dopo qualche scambio ci è stato risposto che avrebbero verificato con l'ufficio legale e ci avrebbero fatto sapere. Non abbiamo più avuto notizie, quindi qualche giorno fa abbiamo riprovato, stavolta scrivendo all'indirizzo dpo@ citato nella sezione GDPR del loro sito ed effettivamente siamo riusciti ad avere un documento di nomina da compilare e reinviare al loro indirizzo:

Register.it ha predisposto un contratto per il trattamento dati che il Cliente che può trovare, in allegato in formato PDF.

Tale documento chiarisce, tra le altre cose, anche le misure di sicurezza tecniche e organizzative che Register.it applica, in qualità di Responsabile del trattamento, in relazione ai Servizi offerti ai propri Clienti.

Laddove tale documento sia da voi ritenuto idoneo, vi invitiamo a completarlo, compilando l’Allegato 1 e, se necessario, l’Allegato 4, e infine sottoscrivendo il documento nello spazio dedicato alle firme. Una volta effettuate tali operazioni, potrà trasmetterlo alla nostra società all’indirizzo e-mail dpo@######.####, confermando così la nomina di Register.it quale Responsabile del trattamento dei dati personali trattati per vostro conto.

Concludendo?

I servizi di posta aziendale offerti da Aruba Mail, Microsoft Office 365 e Google Gsuite ci risultano essere pronti all'uso per gestire una casella di posta professionale secondo i requisiti del GDPR, invece al momento le caselle free Gmail.com, Outlook.com no: sarà da vedere se questi fornitori decideranno di estendere la loro "responsabilità" sulle caselle gratuite o se preferiranno giocare questa differenza come leva per far migrare gli utenti sui loro servizi a pagamento.

Altri servizi come Register.it e le caselle Plus di Libero sembrano essere "adeguabili" con una nomina separata che però sembra avere ancora una forma non ben definita e modalità di formalizzazione del contratto di nomina che non ci convingono al 100%, ma per lo meno c'è stato un riscontro che lascia sperare che nei prossimi mesi, con l'aumentare della consapevolezza dei clienti, verrà reso più fruibile e formalmente corretto: nel frattempo se siete loro clienti possiamo consigliarvi di provare a contattarli per capire se potete nominarli e come (e nel caso scriverci per sapere cosa vi hanno risposto).

Precisiamo che il fatto che un servizio sia gratuito o a pagamento non ha alcuna influenza: il problema sollevato in questo articolo esiste indipendentemente dal costo o gratuità delle caselle. Noi ad esempio abbiamo un account GSuite Gratuito (fino a qualche anno fa fornivano account Google Apps in forma gratuita, oggi questi account si chiamano Google Apps Legacy) che prevede la nomina a responsabile del trattamento nonostante sia completamente gratuito.

Se comprendiamo il motivo per cui Gmail.com e Outlook.com/Hotmail potrebbero non voler fornire questa possibilità, più difficile è comprendere perchè fornitori prettamente rivolti alle aziende (come Register.it ma anche molti altri che abbiamo verificato velocemente) non prevedano queste clausole contrattuali lasciando il tutto alla gestione manuale e alla sollecitudine del cliente.

Allo stesso tempo rileviamo che servizi di Email Marketing / Invio Newsletter, che sono sommariamente equivalenti a servizi di gestione della posta elettronica (entrambi gestiscono una rubrica e una posta in uscita) riportano, praticamente tutti, tali clausole, anche nelle loro forme gratuite. Forse si tratta solamente di una sensibilità differente sui temi relativi alla privacy?

Ci sembra alquanto strano che a 6 mesi dall'introduzione del GDPR sia ancora così difficile trovare risposte a queste domande e che nessuno (per la nostra conoscenza) abbia sollevato questa questione in maniera pubblica, ma l'inquadramento di tale trattamento ci sembra abbastanza palese. Al tempo stesso sappiamo che il 90% dei professionisti oggigiorno usa una casella @libero.it o @gmail.com per scopi professionali, a partire proprio dalla categoria che meglio dovrebbe conoscere l'aspetto normativo, quella degli Avvocati, che sicuramente con la casella di posta tratta dati personali, spesso anche sensibili. Abbiamo preso una cantonata? Oppure il mondo non si è ancora reso conto di questa "piccola" novità?

Fateci sapere, Avvocati e non, qual è il vostro parere.

Che aspettate? Contattate il vostro fornitore, chiedetegli cosa dovete fare per nominarlo responsabile del trattamento e fateci sapere cosa vi dice, così potremo aggiornare questo "report".

Aggiungi un commento

Cliccando su "Salva" accetti che i tuoi dati siano registrati con l'unico scopo di pubblicazione e gestione dei commenti (Leggi l'informativa completa)