E-mail_protezione_dati

E-mail sul lavoro: aggiornati gli indirizzi dal Garante Privacy sulla conservazione dei metadati

1903 0

Il Garante della protezione dei dati personali ha aggiornato il Documento di indirizzoProgrammi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati sulla gestione della posta elettronica attraverso programmi forniti anche in modalità cloud.

Rispetto alla versione 2023 contenuta nel Provvedimento del 21 dicembre 2023, il Garante aggiorna alcune parti del Par.4 sulle responsabilità per i datori di lavoro pubblici e privati...

Mail sul Lavoro, conservazione dei dati nella posta in cloud: i rischi per la privacy

Il Documento del Garante risponde ad una problematica emersa fra i datori di lavoro pubblici e privati relativamente alla gestione della posta elettronica con programmi, anche in cloud che sono configurati in modo da raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail).

Questi programmi, spiega il Garante, non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione e quindi vanno a compromettere le norme che tutelano la libertà e la dignità dei lavoratori.

Il Documento di indirizzo del Garante Privacy sulla gestione dei dati dalle e-mail dei dipendenti: a chi si rivolge e a cosa serve

Il Documento si rivolge a datori di lavoro pubblici e privati e ai produttori degli applicativi.

Le indicazioni devono considerarsi valide anche nel caso in cui, in ambito pubblico, i programmi e servizi informatici in questione siano acquistati mediante le convenzioni/piattaforme che le pubbliche amministrazioni devono o possono utilizzare per l’acquisto di beni e servizi.

Il garante, con riferimento all’utilizzo di servizi basati sul cloud, richiama il report “2022 Coordinated Enforcement Action Use of cloud-based services by the public sector” del Comitato europeo per la protezione dei dati (adottato il 17 gennaio 2023 che indica le misure tecniche e organizzative necessarie ad assicurare il rispetto del Regolamento europeo sulla privacy -GDPR) in tale contesto, garantendo, in particolare, che i fornitori dei servizi cloud trattino i dati personali solo per conto dei rispettivi titolari e sulla base delle istruzioni da questi ricevute.

Come gestire correttamente i metadati nelle e-mail sul lavoro: cosa chiede il Garante Privacy

Nel Documento di indirizzo il Garante chiede

  • Ai datori di lavoro, di verificare con la dovuta diligenza che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti consentano al datore di lavoro di modificare le impostazioni di base, impedendo la raccolta dei predetti metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di sette giorni, estensibile di ulteriori 48 ore, alle condizioni indicate al par. 3.
  • Ai produttori dei servizi e delle applicazioni a tenere conto del diritto alla protezione dei dati tenuto conto dello stato dell’arte in fase di sviluppo e progettazione degli stessi

Cosa succederebbe se un datore di lavoro, per esigenze organizzative e produttive o di tutela del patrimonio anche informativo, volesse invece trattare i metadati per un periodo di tempo più esteso?

Tale estensione oltre i tempi fissati dal Garante, farebbe scattare l’attivazione delle procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro) (art. 4 della l. 300/1970), in quanto potrebbe comportare un indiretto controllo a distanza dell’attività del lavoratore o cessare l’utilizzo di tali programmi e servizi informatici. E ulteriormente il garante spiega che in attesa dell’espletamento delle procedure di garanzia, i predetti metadati non possono comunque essere utilizzati.

E-mail e Protezione dei dati: cosa comunicare ai lavoratori

Il Garante raccomanda ulteriormente che verso i lavoratori sia assicurata la necessaria trasparenza fornendo agli stessi una specifica informativa sul trattamento dei dati personali prima di dare inizio al trattamento (cfr. art. 5, par. 1, lett. a), 12 e 13 del Regolamento).

Infatti, l’adempimento degli obblighi informativi nei confronti dei dipendenti (consistenti nella “adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli”) costituisce anche una specifica precondizione per il lecito utilizzo dei dati raccolti attraverso strumenti tecnologici, da parte del datore di lavoro, anche a tutti i fini connessi al rapporto di lavoro (art. 4, co. 3, della l. n. 300/1970).

Le novità 2024 del Documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”

Rispetto all’edizione uscita a fine 2023, l’edizione di Giugno 2024 apporta alcune correzioni al Par.4 “Possibili responsabilità per i datori di lavoro pubblici e privati” il paragrafo 4.

Nel 2023 si faceva riferimento solo alle ipotesi di Illiceità del trattamento, Violazione del principio di limitazione della conservazione, violazione dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita, e di responsabilizzazione.

Di seguito un quadro di alcuni elementi introdotti nel Documento di Indirizzo aggiornato

4.2 Principio di correttezza e trasparenza Il Garante invita tutti i titolari del trattamento a verificare che la raccolta e la conservazione dei log rispettino questo principio e che gli interessati siano resi pienamente consapevoli delle complessive caratteristiche del trattamento
4.3 Principio di limitazione della conservazione I tempi di conservazione dei metadati devono in ogni caso essere proporzionati rispetto alle legittime finalità perseguite
5. Le iniziative da porre in essere per assicurare il rispetto della normativa in materia di protezione dei dati e la disciplina di settore in materia di controlli a distanza
In questo paragrafo il garante ha eliminato il precedente riferimento ai programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti e alla possibilità che il cliente (datore di lavoro) possa modificarne le impostazioni di base, impedendo la raccolta dei predetti metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di sette giorni, estensibile di ulteriori 48 ore, alle condizioni indicate al par. 3.
4.1 Illiceità del trattamento Con riferimento alla liceità del trattamento, il Garante precisa che il ricorso a sistemi e soluzioni di gestione e conservazione dei log delle comunicazioni elettroniche può considerarsi rientrante nell’eccezione di cui al comma 2 dell’art. 4, L. n. 300/1970 nei casi, alle condizioni e per le finalità già richiamate nel precedente par. 3.

Trattamento dei dati: l’informazione e la formazione per il Professionista della Security

Qual è la normativa di riferimento per la security in azienda?

In materia di trattamento dei dati suggeriamo i libri di Security editi da EPC editore e dedicati alla formazione e informazione dei professionisti della security e dei lavoratori:

Protezione dei dati personali e sicurezza informatica, EPC Editore, ottobre 2023, a Beccara Jean Louis, Cirolini Lunelli Alessandra , Ranise Silvio

Protezione dei dati personali e sicurezza informatica

Compliance aziendale e modalità tecnico-comportamentali nella conduzione degli audit

a Beccara Jean Louis, Cirolini Lunelli Alessandra , Ranise Silvio

Libro

Edizione: ottobre 2023

Pagine: 176

Formato: 150×210 mm

Tutela dei dati e sicurezza informatica, EPC Editore, novembre 2022, Del Pizzo Alessia

Tutela dei dati e sicurezza informatica

Del Pizzo Alessia
E-book

Contesto normativo e strategico, studio della cybersecurity e blockchain, Cyber security del PTD, il corretto trattamento dei dati nei processi digitali e conoscenza del percorso digitale della pubblica amministrazione.

Il volume fa parte della collana “PNRR, digitalizzazione e cybersecurity”

Abc del trattamento dei dati personali, EPC Editore, ristampa aggiornata marzo 2022, Biasiotti Adalberto

Abc del trattamento dei dati personali

Biasiotti Adalberto

Manualistica per i lavoratori

Edizione: ristampa aggiornata marzo 2022

Pagine: 96

Formato: 115×165 mm

Il sistema integrato per la SICUREZZA delle INFORMAZIONI ed il GDPR, EPC Editore, marzo 2021, Castroreale Renato, Ponti Chiara

Il sistema integrato per la SICUREZZA delle INFORMAZIONI ed il GDPR

Castroreale Renato, Ponti Chiara

Libro

Edizione: marzo 2021

Pagine: 384

Formato: 150×210 mm

Corso di formazione e-learning sul GDPR

security plan

In materia di formazione del professionista della Security, suggeriamo il corso organizzato da Istituto Informa nel catalogo dei corsi di Security e Privacy e dedicato al GDPR

Corso e-learning
GDPR General Data Protection Regulation – Il nuovo Regolamento europeo sul trattamento dei dati

In questo corso si possono approfondire tutte le novità introdotte dal nuovo Regolamento Europeo 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. Il corso è rivolto a tutti coloro che hanno necessità di apprendere in modo puntuale e veloce le novità introdotte dal nuovo GDPR.

Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell’ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore

Redazione InSic

Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell'ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore