Il Garante per la protezione dei dati personali ha recentemente pubblicato nuove linee guida riguardanti la conservazione e la gestione dei metadati e delle email dei dipendenti. Queste linee guida, rivolte ai datori di lavoro, offrono regole chiare e precise al fine di garantire la massima sicurezza e riservatezza delle informazioni.
In questo articolo esamineremo più da vicino le nuove indicazioni del Garante e l'impatto che avranno sulle aziende e sulle pratiche di gestione dei dati personali.
Nuove Indicazioni del Garante Privacy
Il Garante Privacy ha di recente introdotto nuove indicazioni concernenti la gestione dei software e dei servizi di posta elettronica in uso ai dipendenti, ponendo una particolare attenzione alla raccolta dei metadati. Queste nuove linee di indirizzo rese pubbliche il 6 febbraio 2024, hanno l'obiettivo di modificare le pratiche attuali delle imprese in merito al trattamento di dati personali dei loro dipendenti.
Con questo documento, il Garante offre ai datori di lavoro, che utilizzano programmi per la gestione delle email, anche attraverso soluzioni cloud o as-a-service, delle “nuove indicazioni utili a prevenire trattamenti di dati in contrasto con la disciplina sulla protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori”.
Il documento nasce a seguito a verifiche, condotte dall'Autorità sulla base di un reclamo, che hanno rivelato come alcuni programmi o servizi informatici per la gestione della posta elettronica, offerti dai fornitori anche tramite soluzioni cloud, siano impostati per default per “raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti”. Questa configurazione non permette ai datori di lavoro di disabilitare la raccolta automatica di tali dati né di limitarne il tempo di conservazione.
Cosa sono i metadati
I metadati - termine derivato dall'inglese "metadata"- rappresentano i dati sui dati, ovvero un insieme di informazioni che descrivono le caratteristiche di altri dati. Sostanzialmente, un metadato è un'informazione che fornisce dettagli su una specifica proprietà di un altro dato.
Nel contesto digitale, i metadati sono informazioni essenziali per la corretta creazione, gestione, conservazione e accessibilità di un documento elettronico nel tempo. Queste informazioni possono spaziare da dettagli basilari, come il nome del file, le specifiche tecniche relative alla versione del software e dell'hardware usati, le date di creazione, di accesso e dell'ultima modifica, fino alla paternità del documento. Le informazioni possono diventare più complesse, includendo descrizioni, termini di rilascio, condizioni di accesso, modalità d'uso e scopo del documento stesso.
Comprendere il significato e l'ambito dei metadati di posta elettronica è cruciale per raggiungere l'obiettivo di migliorare la visibilità, la ricerca e l'accesso ai dati stessi.
In pratica, questi metadati sono "stringhe descrittive" di un'e-mail che ne indicano le caratteristiche o proprietà specifiche, senza tuttavia rivelare il contenuto del messaggio o di eventuali file allegati. È importante sottolineare che il provvedimento/documento del Garante non modifica in alcun modo questo principio.
Pertanto, i metadati tipici associati a un'e-mail comprendono elementi come:
- giorno e ora d'invio;
- mittente e destinatario, indicano rispettivamente chi ha inviato il messaggio e a chi è indirizzato;
- l'oggetto e la dimensione dell'e-mail;
- indirizzi IP del mittente e del server di posta elettronica utilizzato per l'invio del messaggio.
La finalità principale di queste informazioni è legata alla sicurezza informativa. In caso di incidenti di sicurezza, l'analisi dei metadati della posta può risultare fondamentale per identificare la possibile causa dell'incidente, inclusi i data breach, per quanto le organizzazioni si adoperano di prevenire.
Conservazione dei metadati ed email aziendali: il documento di indirizzo nel dettaglio
Il documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, determina i tempi di conservazione dei metadati associati all'impiego della posta elettronica da parte dei lavoratori; tali metadati devono essere mantenuti per un limite massimo di sette giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore.
Di conseguenza, entro un massimo di 9 giorni, “periodo considerato congruo, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore”, ritiene il Garante della Privacy, i datori di lavoro sono tenuti a eliminare tali dati.
Qualora l'eliminazione dei dati richiedesse un periodo di conservazione più lungo, sarà necessario adottare le procedure stabilite dallo Statuto dei lavoratori.
Il Garante precisa che, qualora i datori di lavoro avessero la necessità di trattare i metadati per un periodo superiore ai 7+2 giorni a causa di esigenze organizzative, produttive, di sicurezza dei sistemi o per la tutela del patrimonio informativo dell'azienda, sarà necessario stipulare un accordo sindacale o ottenere l'autorizzazione dell'ispettorato del lavoro. In assenza di tali condizioni, si verrebbe a configurare un controllo (indiretto) a distanza del lavoratore, pratica vietata per legge (art. 4 della Legge n. 300/70), con possibili conseguenze penali.
Implicazioni per le aziende
Questa nuova impostazione richiede cambiamenti sostanziali nelle politiche di conservazione dei dati adottate dalle aziende, che generalmente inclinano verso la conservazione di queste informazioni per periodi estesi a fini di indicizzazione e organizzazione. L'obbligo di conformarsi a queste direttive solleva questioni rilevanti in termini di conformità normativa e gestione dei dati.
Azioni consigliate
Le imprese sono esortate a seguire una serie di azioni preliminari per allinearsi a queste direttive, inclusi:
- La verifica, in collaborazione con i fornitori di servizi e-mail, dei periodi di conservazione attuali dei metadati.
- L'avvio di un dialogo con le rappresentanze sindacali o, in assenza di queste, la richiesta di un'autorizzazione preventiva all'Ispettorato Territoriale del Lavoro per periodi di conservazione che superano i nove giorni.
- L'adozione di varie misure in materia di privacy, che comprendono la realizzazione di una valutazione di impatto sulla protezione dei dati che includa un test di bilanciamento degli interessi e l'aggiornamento delle informative sulla privacy e dei regolamenti interni riguardanti l'uso degli strumenti informatici.
Consultazione Pubblica del Garante Privacy
In risposta alle molteplici richieste di chiarimenti pervenute, il Garante ha posticipato l'entrata in vigore del documento di indirizzo e avviato una consultazione pubblica di 30 giorni che riguarderà le forme e le modalità di utilizzo che giustificherebbero un periodo di conservazione dei metadati superiore a quello previsto nel documento di indirizzo.
Datori di lavoro sia pubblici che privati, esperti di protezione dei dati e tutti gli altri soggetti interessati disporranno di un termine di 30 giorni, a decorrere dalla data di pubblicazione sulla Gazzetta Ufficiale, per presentare al Garante le proprie considerazioni, osservazioni, informazioni, suggerimenti e qualsiasi altro elemento ritenuto pertinente, tramite posta ordinaria o agli indirizzi email protocollo@gpdp.it o protocollo@pec.gpdp.it.
Per approfondimenti o eventuali dubbi su come queste nuove direttive influenzeranno le operazioni aziendali e le migliori prassi per assicurare la conformità, i nostri esperti sono a vostra disposizione. Contattaci e saremo lieti di aiutarti!
