E-mail_protezione_dati

E-mail sul lavoro: indirizzi dal Garante Privacy sulla conservazione dei metadati

493 0

Il Garante per la protezione dei dati personali ha adottato un Documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati sulla gestione della posta elettronica attraverso programmi forniti anche in modalità cloud.

Mail sul Lavoro, conservazione dei dati nella posta in cloud: i rischi per la privacy

Il Documento del Garante risponde ad una problematica emersa fra i datori di lavoro pubblici e privati relativamente alla gestione della posta elettronica con programmi, anche in cloud che sono configurati in modo da raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail).

Questi programmi, spiega il Garante, non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione e quindi vanno a compromettere le norme che tutelano la libertà e la dignità dei lavoratori.

Il Documento di indirizzo del Garante Privacy sulla gestione dei dati dalle e-mail dei dipendenti

Il Documento si rivolge a datori di lavoro pubblici e privati e ai produttori degli applicativi.

Le indicazioni devono considerarsi valide anche nel caso in cui, in ambito pubblico, i programmi e servizi informatici in questione siano acquistati mediante le convenzioni/piattaforme che le pubbliche amministrazioni devono o possono utilizzare per l’acquisto di beni e servizi.

Il garante, con riferimento all’utilizzo di servizi basati sul cloud, richiama il report “2022 Coordinated Enforcement Action Use of cloud-based services by the public sector” del Comitato europeo per la protezione dei dati (adottato il 17 gennaio 2023 che indica le misure tecniche e organizzative necessarie ad assicurare il rispetto del Regolamento europeo sulla privacy (GDPR) in tale contesto, garantendo, in particolare, che i fornitori dei servizi cloud trattino i dati personali solo per conto dei rispettivi titolari e sulla base delle istruzioni da questi ricevute.

Come gestire correttamente i metadati nelle e-mail sul lavoro: cosa chiede il Garante Privacy

Nel Documento di indirizzo il Garante chiede

  • Ai datori di lavoro, di verificare con la dovuta diligenza che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti consentano al datore di lavoro di modificare le impostazioni di base, impedendo la raccolta dei predetti metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di sette giorni, estensibile di ulteriori 48 ore, alle condizioni indicate al par. 3.
  • Ai produttori dei servizi e delle applicazioni a tenere conto del diritto alla protezione dei dati tenuto conto dello stato dell’arte in fase di sviluppo e progettazione degli stessi

Cosa succederebbe se un datore di lavoro, per esigenze organizzative e produttive o di tutela del patrimonio anche informativo, volesse invece trattare i metadati per un periodo di tempo più esteso?

Tale estensione oltre i tempi fissati dal Garante, farebbe scattare l’attivazione delle procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro) (art. 4 della l. 300/1970), in quanto potrebbe comportare un indiretto controllo a distanza dell’attività del lavoratore o cessare l’utilizzo di tali programmi e servizi informatici.

E ulteriormente il garante spiega che in attesa dell’espletamento delle procedure di garanzia, i predetti metadati non possono comunque essere utilizzati.

E-mail e Protezione dei dati: cosa comunicare ai lavoratori

Il Garante raccomanda ulteriormente che verso i lavoratori sia assicurata la necessaria trasparenza fornendo agli stessi una specifica informativa sul trattamento dei dati personali prima di dare inizio al trattamento (cfr. art. 5, par. 1, lett. a), 12 e 13 del Regolamento).

Infatti, l’adempimento degli obblighi informativi nei confronti dei dipendenti (consistenti nella “adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli”) costituisce anche una specifica precondizione per il lecito utilizzo dei dati raccolti attraverso strumenti tecnologici, da parte del datore di lavoro, anche a tutti i fini connessi al rapporto di lavoro (art. 4, co. 3, della l. n. 300/1970).

Trattamento dei dati: l’informazione e la formazione per il Professionista della Security

Qual è la normativa di riferimento per la security in azienda?

In materia di trattamento dei dati suggeriamo i libri di Security editi da EPC editore e dedicati alla formazione e informazione dei professionisti della security e dei lavoratori:

Protezione dei dati personali e sicurezza informatica, EPC Editore, ottobre 2023, a Beccara Jean Louis, Cirolini Lunelli Alessandra , Ranise Silvio

Protezione dei dati personali e sicurezza informatica

Compliance aziendale e modalità tecnico-comportamentali nella conduzione degli audit

a Beccara Jean Louis, Cirolini Lunelli Alessandra , Ranise Silvio

Libro

Edizione: ottobre 2023

Pagine: 176

Formato: 150×210 mm

Tutela dei dati e sicurezza informatica, EPC Editore, novembre 2022, Del Pizzo Alessia

Tutela dei dati e sicurezza informatica

Del Pizzo Alessia
E-book

Contesto normativo e strategico, studio della cybersecurity e blockchain, Cyber security del PTD, il corretto trattamento dei dati nei processi digitali e conoscenza del percorso digitale della pubblica amministrazione.

Il volume fa parte della collana “PNRR, digitalizzazione e cybersecurity”

Abc del trattamento dei dati personali, EPC Editore, ristampa aggiornata marzo 2022, Biasiotti Adalberto

Abc del trattamento dei dati personali

Biasiotti Adalberto

Manualistica per i lavoratori

Edizione: ristampa aggiornata marzo 2022

Pagine: 96

Formato: 115×165 mm

Il sistema integrato per la SICUREZZA delle INFORMAZIONI ed il GDPR, EPC Editore, marzo 2021, Castroreale Renato, Ponti Chiara

Il sistema integrato per la SICUREZZA delle INFORMAZIONI ed il GDPR

Castroreale Renato, Ponti Chiara

Libro

Edizione: marzo 2021

Pagine: 384

Formato: 150×210 mm

Corso di formazione e-learning sul GDPR

security plan

In materia di formazione del professionista della Security, suggeriamo il corso organizzato da Istituto Informa nel catalogo dei corsi di Security e Privacy e dedicato al GDPR

Corso e-learning
GDPR General Data Protection Regulation – Il nuovo Regolamento europeo sul trattamento dei dati

In questo corso si possono approfondire tutte le novità introdotte dal nuovo Regolamento Europeo 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. Il corso è rivolto a tutti coloro che hanno necessità di apprendere in modo puntuale e veloce le novità introdotte dal nuovo GDPR.

Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell’ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore

Redazione InSic

Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell'ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore