Cosa inserire nelle istruzioni al personale? Fra accountability e best practices    L’articolo 29 del GDPR prevede l’obbligo, in capo ad enti ed imprese, di istruire tutti i soggetti che abbiano accesso a dati personali. In questo articolo abbiamo visto quali sono…

L’AI migliora l’efficienza del lavoro, ma è sempre necessaria una verifica    Secondo l'Osservatorio HR Innovation Practice del Politecnico di Milano, tre aziende su dieci utilizzano soluzioni di Intelligenza Artificiale (AI) per supportare i processi delle risorse umane. Queste soluzioni comprendono…

E-mail e metadati: le indicazioni definitive del Garante     Al termine di un iter oggetto di un’ampia discussione, il Garante per la protezione dei dati personali ha pubblicato il nuovo documento di indirizzo sui metadati. Seppure il provvedimento abbia…

Meta userà i tuoi dati per alimentare l’Intelligenza Artificiale: ti spieghiamo - step by step - come fare ad opporti Dal 26 giugno i dati personali di tutti gli utenti di Facebook e Instagram verranno utilizzati per addestrare i sistemi…

La gestione del tempo del DPO: un fattore critico per la conformità al GDPR Con la decisione 87/2024  pubblicata il 3 giugno ’24 l’Autorità per la protezione dei dati belga ha affrontato in dettaglio le responsabilità e le sfide dei…

GDPR: l’obbligo di istruire e formare il personale. Modalità e conseguenze in caso di non conformità Ai sensi del GDPR chiunque abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare…

Come scrivere una nomina a responsabile del trattamento dei dati conforme al GDPR? Le indicazioni del Garante Da un provvedimento dell’Autorità Garante ricaviamo alcune importanti considerazioni su come sviluppare un contratto fra titolare e responsabile del trattamento che sia conforme…

Il Regolamento sull’IA è qui: quali obblighi per le aziende che utilizzano sistemi di Intelligenza Artificiale? In seguito all’accordo raggiunto con gli stati membri dell’UE, il Parlamento europeo ha approvato, lo scorso 13 marzo 2024, il Regolamento sull’Intelligenza Artificiale (IA).…

Come scrivere l’informativa privacy? Le accortezze per scrivere un’informativa veramente conforme   Il Regolamento UE in materia di protezione dei dati personali (GDPR), agli articoli 13 e 14, elenca una serie di elementi che devono necessariamente essere inclusi nell’informativa privacy. Basta…

È sempre necessario predisporre l’informativa privacy?   Il Regolamento europeo in materia di protezione dei dati personali (GDPR) prevede diverse eccezioni all’obbligo di predisporre e fornire l’informativa privacy agli interessati. Anche il Garante per la protezione dei dati personali ha emanato,…

Garante privacy: differita l’efficacia del documento di indirizzo sui metadati.
Quando gli obblighi previsti diverranno applicabili?

 
 
 

A pochi giorni di distanza dal comunicato con cui il Garante diffondeva il “Documento di indirizzo sulla conservazione dei metadati”, la stessa Autorità ha deciso di posticipare l’applicazione delle indicazioni ivi previste e di avviare una consultazione pubblica. Quali ragioni hanno portato a questa scelta? Quando gli obblighi diverranno applicabili?

 

Lo scopo del Documento di indirizzo

Come abbiamo visto in questo articolo, attraverso il provvedimento del 21 dicembre 2023 (riportato nella newsletter del Garante del 6 febbraio 2024), la nostra Autorità di controllo in materia di protezione dei dati personali ha pubblicato il Documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto a tutte le organizzazioni nel settore pubblico e privato.
Il principale fine del provvedimento, si legge fra le premesse, è quello di sensibilizzare enti ed imprese rispetto alla raccolta e al trattamento dei metadati derivanti dall’utilizzo di sistemi di posta elettronica, in modo da favorire la diffusione di migliori prassi a tutela dei diritti e delle libertà degli utenti interessati.

 

Non solo raccomandazioni

Il Garante, tuttavia, oltre a promuovere la consapevolezza del pubblico mediante l’attività informativa, ha deciso di fornire indicazioni rigorose, in particolare rispetto alla conservazione dei metadati generati dalle piattaforme di posta elettronica, utilizzate nel contesto lavorativo.

Tale decisione è stata presa alla luce di quanto emerso nel corso degli accertamenti ispettivi condotti dall’Autorità, accertamenti che avevano già condotto a precedenti sanzioni particolarmente onerose.

Nel mese di dicembre 2022, infatti, le indagini del Garante avevano portato a comminare una sanzione pari a 100.000 euro nei confronti di Regione Lazio. Attraverso la piattaforma di posta elettronica in uso, la Regione raccoglieva, “in modo preventivo e generalizzato”, metadati relativi all’utilizzo degli account di posta elettronica istituzionale assegnati ai dipendenti e successivamente conservava gli stessi per 180 giorni (per generiche finalità di sicurezza informatica). L’Autorità rilevava, pertanto, l’illiceità del trattamento di dati personali, nonché la violazione delle disposizioni giuslavoristiche a tutela dei lavoratori.

 

La conservazione dei metadati

Il Documento di indirizzo, quindi, oltre a richiamare gli adempimenti da porre in essere per assicurarsi la conformità alle norme privacy (il GDPR) e giuslavoristiche (la L. 300/1970 e s.m.i.), fornisce delle indicazioni specifiche proprio in relazione alla conservazione dei metadati.

Affinché la raccolta e la conservazione dei metadati possa considerarsi rientrante nel secondo comma dell’articolo 4 L. 300/1970 (e quindi essere esente dalla necessità di accordo sindacale / autorizzazione ITL/INL), deve essere limitata all’esigenza di assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, per un lasso di tempo non superiore a poche ore o ad alcuni giorni, “in ogni caso non oltre sette giorni,  estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore”.

 

Quali oneri in capo ad enti ed imprese?

Dal Documento di indirizzo derivano specifici oneri in capo ai titolari del trattamento dei dati.

In primo luogo i titolari dovranno verificare le modalità di configurazione dei servizi informatici di posta elettronica in uso, avendo cura (ove sia possibile modificare tali settaggi) di impedire o di limitare il periodo di conservazione dei metadati. Tale attività dovrebbe essere svolta anche interfacciandosi con il provider del servizio, in particolare nel caso di servizi cloud-based.

Qualora tale operazione, per qualsiasi ragione, non risultasse possibile, i titolari, in qualità di datori di lavoro, dovranno assicurarsi di garantire il rispetto dell’articolo 4, comma 1, L. 300/1970. Ciò significa che, in presenza dei presupposti di cui alla norma, potranno trattare metadati per un periodo di tempo superiore a quello stabilito dal Garante solo “previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. […] In mancanza di accordo, […] previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell’Ispettorato nazionale del lavoro”.

 

A ciò si aggiungono gli adempimenti correlati al presidio della conformità alla disciplina in materia di protezione dei dati personali e, in particolare:

  • Verificare e poter dimostrare il rispetto dei principi generali del trattamento: liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza;
  • Determinare le modalità di raccolta dei metadati in funzione delle specifiche finalità perseguite (es. sicurezza informatica e tutela dell’integrità del patrimonio, anche informativo, aziendale);
  • Adottare misure tecniche ed organizzative per dimostrare la conformità al regolamento e garantire la sicurezza dei trattamenti svolti;
  • Adottare misure volte ad assicurare il rispetto dei principi della protezione dei dati fin dalla progettazione del trattamento e per impostazione predefinita;
  • Istruire gli incaricati/autorizzati al trattamento ed assicurarsi che i provider del servizio di posta elettronica siano nominati responsabili del trattamento;
  • Assicurare la trasparenza del trattamento mediante apposite informative agli interessati;
  • Inserire il trattamento all’interno del registro ex art. 30 GDPR;
  • Valutare i rischi derivanti dal trattamento dei metadati per i diritti e le libertà delle persone fisiche, in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalità perseguite;
  • Effettuare, se del caso, la valutazione di impatto sulla protezione dei dati personali e andare in consultazione preventiva qualora permangano rischi residui elevati.

 

Quali implicazioni?

Tali conseguenze per le organizzazioni hanno portato molti esperti di settore a definire come ‘sproporzionate’ le indicazioni relative ai termini di conservazione fornite nel Documento di indirizzo.

Infatti, l’entrata in vigore del provvedimento, nella sua configurazione attuale, comporterebbe che:

  • tutte le organizzazioni dovrebbero interfacciarsi con grandi provider di servizi di posta (quali Microsoft e Google) per richiedere l’applicazione di modifiche ad hoc / granulari. Alternativamente dovrebbero modificare le impostazioni di default settate dal provider, ove possibile. Si tratta di operazioni difficili da applicare, soprattutto in termini di tempo e risorse;
  • l’eliminazione o la limitazione dei metadati rischierebbe di compromettere le esigenze di sicurezza della corrispondenza: in caso di attacchi informatici, ad esempio, accedere ai metadati per verificare quale vulnerabilità è stata sfruttata può essere fondamentale per prevenire attacchi futuri;
  • anche tutte le indagini forensi e le investigazioni penali rischierebbero di venire compromesse dall’eliminazione o la limitazione dei metadati.

Per evitare di eliminare o limitare i metadati, molte organizzazioni si troverebbero, quindi, costrette garantire il rispetto dell’articolo 4, comma 1, L. 300/1970, con potenziali disagi anche in capo agli uffici dell’Ispettorato del Lavoro adibiti al rilascio delle autorizzazioni.

 

La decisione del Garante: avviata la consultazione pubblica

In considerazione delle richieste di chiarimenti ricevute, l’Autorità Garante, con il Provvedimento del 22 febbraio 2024 (comunicato del 27 febbraio 2024), ha deciso di differire l’efficacia del documento di indirizzo e promuovere una consultazione pubblica.

Scopo della consultazione è quello di raccogliere osservazioni e proposte sulla congruità del termine di conservazione dei metadati.

 

Quindi, quando il Documento di Indirizzo diverrà applicabile?

La consultazione durerà 30 giorni dalla data di pubblicazione dell’avviso pubblico sulla Gazzetta Ufficiale (ad oggi non ancora pubblicato).

L’efficacia del Documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” viene quindi ufficialmente differita sino:

  • al termine della predetta consultazione pubblica, all’esito della quale il Garante si riserva di adottare ulteriori determinazioni.

In caso di mancata adozione di ulteriori determinazioni, invece, l’efficacia del Documento di indirizzo slitterà:

  • al sessantesimo giorno successivo la scadenza del termine per la presentazione dei contributi richiesti nell’ambito della consultazione.

 

Restiamo dunque in attesa, nella speranza che il Garante adotti ulteriori determinazioni che consentano di alleggerire, almeno parzialmente, gli oneri previsti dal Documento di indirizzo in capo ad enti ed imprese.

 

Se desideri restare aggiornato rispetto al tema della conservazione dei metadati iscriviti alla nostra newsletter: clicca qui.

Ti informiamo, inoltre, che i nostri corsi di Alta Formazione per Privacy Manager e Data Protection Officer includono due moduli relativi al trattamento dei dati dei lavoratori, all’uso di internet, della posta elettronica e di altri strumenti comportanti un potenziale controllo a distanza dell’attività lavorativa. Vengono analizzati alcuni dei principali provvedimenti dell’Autorità, anche in relazione alla raccolta di metadati. Se desideri consultare il programma completo ed iscriverti clicca qui.

 

 

Follow us on
Our Gallery