Il Garante della protezione dei dati personali ha aggiornato il Documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati sulla gestione della posta elettronica attraverso programmi forniti anche in modalità cloud.
Rispetto alla versione 2023 contenuta nel Provvedimento del 21 dicembre 2023, il Garante aggiorna alcune parti del Par.4 sulle responsabilità per i datori di lavoro pubblici e privati...
Nell'articolo
Mail sul Lavoro, conservazione dei dati nella posta in cloud: i rischi per la privacy
Il Documento del Garante risponde ad una problematica emersa fra i datori di lavoro pubblici e privati relativamente alla gestione della posta elettronica con programmi, anche in cloud che sono configurati in modo da raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail).
Questi programmi, spiega il Garante, non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione e quindi vanno a compromettere le norme che tutelano la libertà e la dignità dei lavoratori.
Il Documento di indirizzo del Garante Privacy sulla gestione dei dati dalle e-mail dei dipendenti: a chi si rivolge e a cosa serve
Il Documento si rivolge a datori di lavoro pubblici e privati e ai produttori degli applicativi.
Le indicazioni devono considerarsi valide anche nel caso in cui, in ambito pubblico, i programmi e servizi informatici in questione siano acquistati mediante le convenzioni/piattaforme che le pubbliche amministrazioni devono o possono utilizzare per l’acquisto di beni e servizi.
Il garante, con riferimento all’utilizzo di servizi basati sul cloud, richiama il report “2022 Coordinated Enforcement Action Use of cloud-based services by the public sector” del Comitato europeo per la protezione dei dati (adottato il 17 gennaio 2023 che indica le misure tecniche e organizzative necessarie ad assicurare il rispetto del Regolamento europeo sulla privacy -GDPR) in tale contesto, garantendo, in particolare, che i fornitori dei servizi cloud trattino i dati personali solo per conto dei rispettivi titolari e sulla base delle istruzioni da questi ricevute.
Come gestire correttamente i metadati nelle e-mail sul lavoro: cosa chiede il Garante Privacy
Nel Documento di indirizzo il Garante chiede
- Ai datori di lavoro, di verificare con la dovuta diligenza che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti consentano al datore di lavoro di modificare le impostazioni di base, impedendo la raccolta dei predetti metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di sette giorni, estensibile di ulteriori 48 ore, alle condizioni indicate al par. 3.
- Ai produttori dei servizi e delle applicazioni a tenere conto del diritto alla protezione dei dati tenuto conto dello stato dell’arte in fase di sviluppo e progettazione degli stessi
Cosa succederebbe se un datore di lavoro, per esigenze organizzative e produttive o di tutela del patrimonio anche informativo, volesse invece trattare i metadati per un periodo di tempo più esteso?
Tale estensione oltre i tempi fissati dal Garante, farebbe scattare l’attivazione delle procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro) (art. 4 della l. 300/1970), in quanto potrebbe comportare un indiretto controllo a distanza dell’attività del lavoratore o cessare l’utilizzo di tali programmi e servizi informatici. E ulteriormente il garante spiega che in attesa dell’espletamento delle procedure di garanzia, i predetti metadati non possono comunque essere utilizzati.
E-mail e Protezione dei dati: cosa comunicare ai lavoratori
Il Garante raccomanda ulteriormente che verso i lavoratori sia assicurata la necessaria trasparenza fornendo agli stessi una specifica informativa sul trattamento dei dati personali prima di dare inizio al trattamento (cfr. art. 5, par. 1, lett. a), 12 e 13 del Regolamento).
Infatti, l’adempimento degli obblighi informativi nei confronti dei dipendenti (consistenti nella “adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli”) costituisce anche una specifica precondizione per il lecito utilizzo dei dati raccolti attraverso strumenti tecnologici, da parte del datore di lavoro, anche a tutti i fini connessi al rapporto di lavoro (art. 4, co. 3, della l. n. 300/1970).
Le novità 2024 del Documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”
Rispetto all’edizione uscita a fine 2023, l’edizione di Giugno 2024 apporta alcune correzioni al Par.4 “Possibili responsabilità per i datori di lavoro pubblici e privati” il paragrafo 4.
Nel 2023 si faceva riferimento solo alle ipotesi di Illiceità del trattamento, Violazione del principio di limitazione della conservazione, violazione dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita, e di responsabilizzazione.
Di seguito un quadro di alcuni elementi introdotti nel Documento di Indirizzo aggiornato
4.2 Principio di correttezza e trasparenza | Il Garante invita tutti i titolari del trattamento a verificare che la raccolta e la conservazione dei log rispettino questo principio e che gli interessati siano resi pienamente consapevoli delle complessive caratteristiche del trattamento |
4.3 Principio di limitazione della conservazione | I tempi di conservazione dei metadati devono in ogni caso essere proporzionati rispetto alle legittime finalità perseguite |
5. Le iniziative da porre in essere per assicurare il rispetto della normativa in materia di protezione dei dati e la disciplina di settore in materia di controlli a distanza |
In questo paragrafo il garante ha eliminato il precedente riferimento ai programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti e alla possibilità che il cliente (datore di lavoro) possa modificarne le impostazioni di base, impedendo la raccolta dei predetti metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di sette giorni, estensibile di ulteriori 48 ore, alle condizioni indicate al par. 3. |
4.1 Illiceità del trattamento | Con riferimento alla liceità del trattamento, il Garante precisa che il ricorso a sistemi e soluzioni di gestione e conservazione dei log delle comunicazioni elettroniche può considerarsi rientrante nell’eccezione di cui al comma 2 dell’art. 4, L. n. 300/1970 nei casi, alle condizioni e per le finalità già richiamate nel precedente par. 3. |
E-mail e Phishing, per saperne di più
Trattamento dei dati: l’informazione e la formazione per il Professionista della Security
Qual è la normativa di riferimento per la security in azienda?
In materia di trattamento dei dati suggeriamo i libri di Security editi da EPC editore e dedicati alla formazione e informazione dei professionisti della security e dei lavoratori:
Protezione dei dati personali e sicurezza informatica
Compliance aziendale e modalità tecnico-comportamentali nella conduzione degli audit
a Beccara Jean Louis, Cirolini Lunelli Alessandra , Ranise Silvio
Libro
Edizione: ottobre 2023
Pagine: 176
Formato: 150×210 mm
Tutela dei dati e sicurezza informatica
Del Pizzo Alessia
E-book
Contesto normativo e strategico, studio della cybersecurity e blockchain, Cyber security del PTD, il corretto trattamento dei dati nei processi digitali e conoscenza del percorso digitale della pubblica amministrazione.
Il volume fa parte della collana “PNRR, digitalizzazione e cybersecurity”
Abc del trattamento dei dati personali
Biasiotti Adalberto
Manualistica per i lavoratori
Edizione: ristampa aggiornata marzo 2022
Pagine: 96
Formato: 115×165 mm
Il sistema integrato per la SICUREZZA delle INFORMAZIONI ed il GDPR
Castroreale Renato, Ponti Chiara
Libro
Edizione: marzo 2021
Pagine: 384
Formato: 150×210 mm
Corso di formazione e-learning sul GDPR
In materia di formazione del professionista della Security, suggeriamo il corso organizzato da Istituto Informa nel catalogo dei corsi di Security e Privacy e dedicato al GDPR
In questo corso si possono approfondire tutte le novità introdotte dal nuovo Regolamento Europeo 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. Il corso è rivolto a tutti coloro che hanno necessità di apprendere in modo puntuale e veloce le novità introdotte dal nuovo GDPR.
Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell’ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore