Cosa inserire nelle istruzioni al personale? Fra accountability e best practices    L’articolo 29 del GDPR prevede l’obbligo, in capo ad enti ed imprese, di istruire tutti i soggetti che abbiano accesso a dati personali. In questo articolo abbiamo visto quali sono…

L’AI migliora l’efficienza del lavoro, ma è sempre necessaria una verifica    Secondo l'Osservatorio HR Innovation Practice del Politecnico di Milano, tre aziende su dieci utilizzano soluzioni di Intelligenza Artificiale (AI) per supportare i processi delle risorse umane. Queste soluzioni comprendono…

E-mail e metadati: le indicazioni definitive del Garante     Al termine di un iter oggetto di un’ampia discussione, il Garante per la protezione dei dati personali ha pubblicato il nuovo documento di indirizzo sui metadati. Seppure il provvedimento abbia…

Meta userà i tuoi dati per alimentare l’Intelligenza Artificiale: ti spieghiamo - step by step - come fare ad opporti Dal 26 giugno i dati personali di tutti gli utenti di Facebook e Instagram verranno utilizzati per addestrare i sistemi…

La gestione del tempo del DPO: un fattore critico per la conformità al GDPR Con la decisione 87/2024  pubblicata il 3 giugno ’24 l’Autorità per la protezione dei dati belga ha affrontato in dettaglio le responsabilità e le sfide dei…

GDPR: l’obbligo di istruire e formare il personale. Modalità e conseguenze in caso di non conformità Ai sensi del GDPR chiunque abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare…

Come scrivere una nomina a responsabile del trattamento dei dati conforme al GDPR? Le indicazioni del Garante Da un provvedimento dell’Autorità Garante ricaviamo alcune importanti considerazioni su come sviluppare un contratto fra titolare e responsabile del trattamento che sia conforme…

Il Regolamento sull’IA è qui: quali obblighi per le aziende che utilizzano sistemi di Intelligenza Artificiale? In seguito all’accordo raggiunto con gli stati membri dell’UE, il Parlamento europeo ha approvato, lo scorso 13 marzo 2024, il Regolamento sull’Intelligenza Artificiale (IA).…

Come scrivere l’informativa privacy? Le accortezze per scrivere un’informativa veramente conforme   Il Regolamento UE in materia di protezione dei dati personali (GDPR), agli articoli 13 e 14, elenca una serie di elementi che devono necessariamente essere inclusi nell’informativa privacy. Basta…

È sempre necessario predisporre l’informativa privacy?   Il Regolamento europeo in materia di protezione dei dati personali (GDPR) prevede diverse eccezioni all’obbligo di predisporre e fornire l’informativa privacy agli interessati. Anche il Garante per la protezione dei dati personali ha emanato,…

E-mail e metadati: le indicazioni definitive del Garante

 
 

Al termine di un iter oggetto di un’ampia discussione, il Garante per la protezione dei dati personali ha pubblicato il nuovo documento di indirizzo sui metadati. Seppure il provvedimento abbia natura “orientativa”, dallo stesso si ricavano indicazioni essenziali per selezionare e, soprattutto, per configurare correttamente i programmi di posta elettronica in uso. Cosa sapere? Come evitare di incorrere in sanzioni?

 
Metadati e protezione dei dati personali

Prima di entrare nel merito delle indicazioni fornite dal Garante è necessario ricordare lo scopo del documento di indirizzo. La gestione dei metadati di posta elettronica, infatti, può sembrare un tema di secondaria importanza se non si considerano le implicazioni sui diritti e sulle libertà degli interessati.

I comuni sistemi di posta elettronica sono impostati in modo da generare una serie di informazioni, più o meno nascoste, correlate ai singoli messaggi inviati e ricevuti e, più in generale, agli account utilizzati. Fra queste informazioni vi rientrano, ad esempio, “gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati”, chiamati “metadati di posta elettronica” o “log di posta elettronica”.

I metadati rappresentano, quindi, un insieme di dettagli aggiuntivi in grado rivelare abitudini personali, schemi di comportamento e reti di relazioni degli individui. Per tale ragione e, in particolare, nel contesto lavorativo, è fondamentale che la raccolta e l’eventuale analisi di questi dati avvenga nel rispetto delle garanzie di segretezza della corrispondenza tutelate anche costituzionalmente.

 
Il documento di indirizzo e la consultazione pubblica

Sin dalla pubblicazione della prima versione del “Documento di indirizzo sulla conservazione dei metadati” (ne abbiamo parlato qui), il Garante ha reso nota l’esigenza di sensibilizzare enti ed imprese rispetto alla raccolta e al trattamento dei metadati, in modo da favorire la diffusione di migliori prassi a tutela dei diritti e delle libertà delle persone. Oltre a migliori prassi, tuttavia, il documento conteneva anche indicazioni specifiche rispetto ai termini massimi di conservazione dei metadati. Tali indicazioni hanno generato un’ampia discussione, con molteplici richieste di chiarimenti pervenute all’Autorità. Il Garante ha quindi deciso di sospendere l’efficacia del documento di indirizzo e di avviare una consultazione pubblica (ne abbiamo parlato qui).


Un equilibrio fragile

La consultazione ha consentito di raccogliere pareri e prospettive diverse, coinvolgendo un insieme estremamente eterogeneo di stakeholder: rappresentanti di enti ed imprese, provider e fornitori degli applicativi di posta elettronica, rappresentanti dei lavoratori, responsabili della protezione dei dati, responsabili IT e professionisti della sicurezza informatica, professionisti della privacy, etc.

Il tema della conservazione dei metadati, infatti, impatta sia sulle esigenze operative e di sicurezza perseguite da enti ed imprese, che sulle libertà e sui diritti fondamentali dei singoli lavoratori. La consultazione pubblica è stata determinante proprio per interrogarsi su questo, delicato, equilibrio, per bilanciare esigenze diverse e formulare strategie comuni condivisibili operativamente ed eticamente.


Le novità introdotte dal nuovo documento di indirizzo

Terminata la consultazione pubblica, in data 6 giugno 2024, il Garante ha pubblicato il provvedimento n. 364, contenente una “versione aggiornata” del Documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”.

Rispetto alla precedente versione, l’Autorità ha ritenuto opportuno:

  • integrare una definizione di “metadati”, specificando che questi “corrispondono tecnicamente alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client”;
  • integrare esempi concreti di informazioni qualificabili come “metadati”: indirizzi e-mail di mittente e destinatario, indirizzi IP dei server o client coinvolti, orari di invio, ritrasmissione o ricezione, dimensione del messaggio, presenza e dimensione di eventuali allegati e, a volte, l’oggetto del messaggio;
  • circoscrivere meglio l’ambito di applicazione oggettivo del documento di indirizzo, individuando anche i dati che NON rientrano nella definizione di “metadati”: “le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate – ancorché talvolta non immediatamente visibili agli utenti dei software “client” di posta elettronica (i cosiddetti MUA – Mail User Agent)”. Si tratta di tutti quei dati che restano nella esclusiva disponibilità dell’utente/lavoratore, all’interno della casella di posta elettronica a questi attribuita;
  • sensibilizzare i provider dei servizi di posta elettronica rispetto alla necessità di configurare, già in fase di progettazione, i prodotti sviluppati (applicativi / piattaforme) in considerazione del diritto alla protezione dei dati personali;
  • ampliare e ridefinire le regole ed i criteri per la conservazione dei metadati.
 
Quali criteri? le raccomandazioni per la posta elettronica

Le modifiche al documento di indirizzo, pertanto, hanno riguardato anche il nucleo essenziale di raccomandazioni fornite. Parliamo di “raccomandazioni” e non di “regole” o “obblighi” in quanto lo stesso Garante specifica che il documento di indirizzo ha “natura orientativa” e che dallo stesso “non discendono nuovi adempimenti o responsabilità”. Al tempo stesso, però, l’Autorità prescrive chiaramente un termine massimo affinché sia ritenuto applicabile il comma 2 dell’art. 4 della L. n. 300/1970. È quindi bene tener presente che il mancato rispetto delle indicazioni “orientative” del Garante può portare a sanzioni per violazione delle norme in materia di controllo a distanza dell’attività lavorativa.

In particolare, la versione aggiornata del documento di indirizzo prevede che è possibile raccogliere e conservare i metadati di posta elettronica, senza la necessità di adempiere agli obblighi di cui al comma 1 dell’art. 4 della L. n. 300/1970 (accordo con le RSA/RSU o autorizzazione ITL/INL), se ricorrono alcune condizioni:

  • l’attività di raccolta e conservazione deve riguardare i soli metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica,
  • l’attività di raccolta e conservazione deve avvenire “per un periodo limitato a pochi giorni; a titolo orientativo, tale conservazione non dovrebbe comunque superare i 21 giorni”. L’eventuale estensione di tale termine è ammessa solo al ricorrere di particolari condizioni e avendo cura di comprovare la “specificità della realtà tecnica e organizzativa del titolare”;
  • il datore di lavoro deve adottare tutte le misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità;
  • il datore di lavoro garantire l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti;
  • il datore di lavoro deve provvedere alla tracciatura degli accessi effettuati.

Come assicurarsi la compliance?

In conclusione, il documento di indirizzo non si limita a richiamare i principi fondamentali del Regolamento e a sensibilizzare rispetto alla gestione dei metadati di posta e al relativo potenziale impatto sui prestatori di lavoro. Le indicazioni “orientative” sono ben chiare ed è necessario attivarsi subito per:

  • determinare, in base alle finalità perseguite, un termine di conservazione dei metadati congruo;
  • accertarsi che il termine così determinato consenta di escludere l’applicazione del comma 1 dell’art. 4 della L. n. 300/1970, rientrando nelle deroghe di cui al comma 2;
  • qualora, per specifiche esigenze, non sia possibile escludere l’applicazione del sopracitato primo comma, adempiere agli obblighi in materia di giuslavoro previsti dalla norma;
  • valutare, con il supporto della funzione IT, le impostazioni messe a disposizione dal provider di posta elettronica;
  • interfacciarsi direttamente con il provider, ove non sia possibile modificare agevolmente i termini massimi di conservazione dei metadati;
  • informare ed istruire il personale.

Se hai bisogno di supporto nell’applicazione delle indicazioni del Garante, contattaci. I nostri consulenti sapranno fornirti le migliori indicazioni per assicurarti la compliance.

Se desideri invece approfondire la tematica ed i precedenti provvedimenti del Garante, ti ricordiamo che sono aperte le iscrizioni al nostro corso di alta formazione, giunto ormai alla 58esima edizione. Il programma del corso, consultabile qui, include una giornata dedicata al trattamento dei dati dei lavoratori, all’utilizzo di posta elettronica e web sul posto di lavoro.

Follow us on
Our Gallery