Provvedimento n. 642/2023 del Garante Privacy: Nuove regole per la posta elettronica aziendale e i metadati
ATTENZIONE: L’ARTICOLO CONTIENE UN AGGIORNAMENTO DEL 27/02/2024
Il 21 dicembre 2023, il Garante per la protezione dei dati personali ha adottato il Provvedimento n. 642/2023 recante “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”.
Il documento dell’Autorità Garante fornisce indicazioni precise ai datori di lavoro pubblici e privati, nonché ad altri soggetti coinvolti nel contesto lavorativo, su come gestire la posta elettronica e i metadati dei lavoratori nel rispetto della normativa privacy.
Ma prima di tutto: Cosa sono i metadati?
I metadati sono informazioni che descrivono un’altra informazione. In relazione alla posta elettronica, i metadati possono includere:
- Mittente
- Destinatario
- Oggetto
- Data e ora di invio e ricezione
- Dimensione del messaggio
- Allegati
- IP del mittente e del destinatario
Cosa cambia con il nuovo Provvedimento?
Il Provvedimento n. 642/2023 introduce alcune novità importanti, tra cui:
- Modificabilità delle impostazioni: I datori di lavoro devono consentire ai lavoratori di modificare le impostazioni dei programmi di posta elettronica per limitare la raccolta o l’utilizzo dei metadati.
- Limiti alla raccolta e all’utilizzo dei metadati: La raccolta e l’utilizzo dei metadati devono essere necessari, pertinenti e proporzionati alle finalità lavorative.
- Periodo di conservazione: I metadati devono essere conservati per un periodo di tempo limitato, non superiore a quello necessario per le finalità per cui sono stati raccolti.
- Trasparenza: I lavoratori devono essere informati in modo chiaro e trasparente sulle modalità di trattamento dei loro metadati.
Cosa fare per adeguarsi al nuovo Provvedimento?
I datori di lavoro dovrebbero:
- Verificare le impostazioni dei programmi di posta elettronica aziendale e, se necessario, modificarle per renderle conformi al Provvedimento.
- Aggiornare l’informativa privacy fornita ai lavoratori, includendo informazioni specifiche sul trattamento dei metadati.
- Adottare misure tecniche e organizzative adeguate per proteggere i metadati da accessi non autorizzati.
Perché è importante adeguarsi al nuovo Provvedimento?
Il rispetto del Provvedimento n. 642/2023 è importante per:
- Tutelare la privacy dei lavoratori
- Evitare sanzioni da parte del Garante Privacy
- Dimostrare la conformità alle normative privacy
Quindi, i datori di lavoro devono verificare accuratamente che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti – anche in caso di servizi in cloud – consentano al Titolare stesso di modificare le impostazioni impedendo la raccolta dei predetti metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di sette giorni, estensibile di ulteriori 48 ore.
E se ciò non fosse possibile o se il Titolare volesse conservare i metadati più a lungo? Se ciò dovesse accadere e quindi si rendesse necessario conservare tali dati per il perseguimento di esigenze organizzative o produttive, occorrerà espletare le procedure di garanzia (Accordo sindacale o Autorizzazione INL) previste dalla disciplina di settore (art. 4 della l. 300/1970).
In ogni caso, una volta regolarizzata la gestione dei metadati, è necessario assicurare la dovuta trasparenza nei confronti dei lavoratori, fornendo agli stessi una specifica informativa sul trattamento dei dati personali in parola.
AGGIORNAMENTO DEL 27/02/2024
E-mail dei dipendenti, il Garante privacy avvia una consultazione pubblica
Al via la consultazione pubblica sulla congruità del termine di conservazione dei metadati degli account dei servizi di posta elettronica dei lavoratori (giorno, ora, mittente, destinatario, oggetto, dimensione dell’e-mail). Datori di lavoro pubblici e privati, esperti della disciplina di protezione dei dati e tutti i soggetti interessati avranno a disposizione 30 giorni, a partire dalla pubblicazione in Gazzetta ufficiale, per inviare al Garante le proprie osservazioni, i commenti, le informazioni, le proposte e tutti gli elementi ritenuti utili, tramite posta ordinaria o alle caselle protocollo@gpdp.it oppure protocollo@pec.gpdp.it.
Per richiamare l’attenzione su alcuni aspetti che potrebbero essere in contrasto con la disciplina di protezione dei dati e le norme a tutela del lavoratore, l’Autorità ha recentemente pubblicato il documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, con cui – in particolare – veniva indicato in 7 giorni, estensibili di 48 ore per comprovate esigenze, il periodo di conservazione dei metadati degli account dei servizi di posta elettronica. Per rispondere alle numerose richieste di chiarimenti ricevute, il Garante ha dunque deciso di differire l’efficacia del documento di indirizzo e promuovere una consultazione pubblica di 30 giorni sulle forme e modalità di utilizzo che renderebbero necessaria una conservazione dei metadati superiore a quella ipotizzata nel documento di indirizzo.
Per approfondire:
- Documento di indirizzo del Garante privacy: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9978728
- Comunicato del 27/02/2024: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9987602
Hai bisogno di supporto per adeguare la tua azienda al Provvedimento n. 642/2023 del Garante Privacy o per verificare se sei a norma?
I nostri esperti di protezione dei dati sono a tua disposizione per:
- Analizzare la tua situazione attuale
- Fornire consulenza su come adeguare le impostazioni della posta elettronica aziendale
- Aggiornare la tua informativa privacy
- Adottare misure tecniche e organizzative adeguate
Contattaci oggi stesso per una consulenza gratuita!