Il Garante per la protezione dei dati personali ha adottato un Documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati sulla gestione della posta elettronica attraverso programmi forniti anche in modalità cloud.
Nell'articolo
Mail sul Lavoro, conservazione dei dati nella posta in cloud: i rischi per la privacy
Il Documento del Garante risponde ad una problematica emersa fra i datori di lavoro pubblici e privati relativamente alla gestione della posta elettronica con programmi, anche in cloud che sono configurati in modo da raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail).
Questi programmi, spiega il Garante, non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione e quindi vanno a compromettere le norme che tutelano la libertà e la dignità dei lavoratori.
Il Documento di indirizzo del Garante Privacy sulla gestione dei dati dalle e-mail dei dipendenti
Il Documento si rivolge a datori di lavoro pubblici e privati e ai produttori degli applicativi.
Le indicazioni devono considerarsi valide anche nel caso in cui, in ambito pubblico, i programmi e servizi informatici in questione siano acquistati mediante le convenzioni/piattaforme che le pubbliche amministrazioni devono o possono utilizzare per l’acquisto di beni e servizi.
Il garante, con riferimento all’utilizzo di servizi basati sul cloud, richiama il report “2022 Coordinated Enforcement Action Use of cloud-based services by the public sector” del Comitato europeo per la protezione dei dati (adottato il 17 gennaio 2023 che indica le misure tecniche e organizzative necessarie ad assicurare il rispetto del Regolamento europeo sulla privacy (GDPR) in tale contesto, garantendo, in particolare, che i fornitori dei servizi cloud trattino i dati personali solo per conto dei rispettivi titolari e sulla base delle istruzioni da questi ricevute.
Come gestire correttamente i metadati nelle e-mail sul lavoro: cosa chiede il Garante Privacy
Nel Documento di indirizzo il Garante chiede
- Ai datori di lavoro, di verificare con la dovuta diligenza che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti consentano al datore di lavoro di modificare le impostazioni di base, impedendo la raccolta dei predetti metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di sette giorni, estensibile di ulteriori 48 ore, alle condizioni indicate al par. 3.
- Ai produttori dei servizi e delle applicazioni a tenere conto del diritto alla protezione dei dati tenuto conto dello stato dell’arte in fase di sviluppo e progettazione degli stessi
Cosa succederebbe se un datore di lavoro, per esigenze organizzative e produttive o di tutela del patrimonio anche informativo, volesse invece trattare i metadati per un periodo di tempo più esteso?
Tale estensione oltre i tempi fissati dal Garante, farebbe scattare l’attivazione delle procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro) (art. 4 della l. 300/1970), in quanto potrebbe comportare un indiretto controllo a distanza dell’attività del lavoratore o cessare l’utilizzo di tali programmi e servizi informatici.
E ulteriormente il garante spiega che in attesa dell’espletamento delle procedure di garanzia, i predetti metadati non possono comunque essere utilizzati.
E-mail e Protezione dei dati: cosa comunicare ai lavoratori
Il Garante raccomanda ulteriormente che verso i lavoratori sia assicurata la necessaria trasparenza fornendo agli stessi una specifica informativa sul trattamento dei dati personali prima di dare inizio al trattamento (cfr. art. 5, par. 1, lett. a), 12 e 13 del Regolamento).
Infatti, l’adempimento degli obblighi informativi nei confronti dei dipendenti (consistenti nella “adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli”) costituisce anche una specifica precondizione per il lecito utilizzo dei dati raccolti attraverso strumenti tecnologici, da parte del datore di lavoro, anche a tutti i fini connessi al rapporto di lavoro (art. 4, co. 3, della l. n. 300/1970).
E-mail e Phishing, per saperne di più
Trattamento dei dati: l’informazione e la formazione per il Professionista della Security
Qual è la normativa di riferimento per la security in azienda?
In materia di trattamento dei dati suggeriamo i libri di Security editi da EPC editore e dedicati alla formazione e informazione dei professionisti della security e dei lavoratori:
Protezione dei dati personali e sicurezza informatica
Compliance aziendale e modalità tecnico-comportamentali nella conduzione degli audit
a Beccara Jean Louis, Cirolini Lunelli Alessandra , Ranise Silvio
Libro
Edizione: ottobre 2023
Pagine: 176
Formato: 150×210 mm
Tutela dei dati e sicurezza informatica
Del Pizzo Alessia
E-book
Contesto normativo e strategico, studio della cybersecurity e blockchain, Cyber security del PTD, il corretto trattamento dei dati nei processi digitali e conoscenza del percorso digitale della pubblica amministrazione.
Il volume fa parte della collana “PNRR, digitalizzazione e cybersecurity”
Abc del trattamento dei dati personali
Biasiotti Adalberto
Manualistica per i lavoratori
Edizione: ristampa aggiornata marzo 2022
Pagine: 96
Formato: 115×165 mm
Il sistema integrato per la SICUREZZA delle INFORMAZIONI ed il GDPR
Castroreale Renato, Ponti Chiara
Libro
Edizione: marzo 2021
Pagine: 384
Formato: 150×210 mm
Corso di formazione e-learning sul GDPR
In materia di formazione del professionista della Security, suggeriamo il corso organizzato da Istituto Informa nel catalogo dei corsi di Security e Privacy e dedicato al GDPR
In questo corso si possono approfondire tutte le novità introdotte dal nuovo Regolamento Europeo 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. Il corso è rivolto a tutti coloro che hanno necessità di apprendere in modo puntuale e veloce le novità introdotte dal nuovo GDPR.
Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell’ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore