Metadati: arriva il provvedimento definitivo del Garante. Quali novità per i datori?
A cura di Avv. Giuseppe M. Cannella e di Avv. Elisabetta ZicarelliArriva, finalmente, l’esito della consultazione pubblica, avviata dal Garante privacy poche settimane dopo la pubblicazione del suo stesso documento di indirizzo sulla conservazione dei metadati della posta elettronica, che aveva suscitato non poche discussioni tra esperti di protezione dei dati ed esponenti aziendali.
Nel dicembre scorso, l'Autorità garante italiana ha adottato il documento "Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati". A seguito di numerose richieste di chiarimenti, il provvedimento è stato sospeso e sottoposto a consultazione pubblica, culminando nel provvedimento tanto atteso dello scorso 6 giugno.
Con il provvedimento n. 364, l'Autorità affronta definitivamente la questione del trattamento dei metadati della posta elettronica aziendale, andando primariamente a definire chiaramente il concetto di metadati, da intendersi come gli elementi tecnici generati automaticamente dai sistemi di gestione della posta elettronica, quali indirizzi email, indirizzi IP, orari di invio e ricezione, dimensione del messaggio, presenza di allegati e, in alcuni casi, l'oggetto del messaggio.
Si tratta di dati generati automaticamente dai sistemi di posta elettronica, senza dipendere dalla volontà dell'utente che non devono essere confusi in alcun modo con il contenuto dell’e-mail (body-part) né con l’envelope della stessa (ovvero l’insieme delle informazioni che dettagliano il percorso che un messaggio ha seguito, la sua origine e vari altri dettagli tecnici rilevanti).
Il Garante sottolinea che questo provvedimento non introduce nuove prescrizioni per i titolari del trattamento, ma rappresenta una chiara guida basata sulle normative esistenti, mirata a sensibilizzare sui punti di intersezione tra la protezione dei dati personali e le normative sull'uso degli strumenti tecnologici nei luoghi di lavoro.
L'Autorità ribadisce l'importanza di applicare rigorosamente le disposizioni normative, inclusi i principi fondamentali del GDPR, come correttezza, trasparenza, limitazione della conservazione e responsabilizzazione. I titolari del trattamento devono, quindi, garantire che i tempi di conservazione dei metadati siano proporzionati alle finalità legittime, informando adeguatamente i lavoratori e assicurando la conformità dei prodotti e servizi utilizzati. Invero, la raccolta e conservazione generalizzata dei metadati della posta elettronica senza adeguati presupposti giuridici può portare alla raccolta di informazioni personali o opinioni non pertinenti alla valutazione professionale del lavoratore e, dunque, a trattamenti illeciti di dati personali, nonché controlli illegittimi sui lavoratori.
I titolari del trattamento devono, quindi garantire che:
- i tempi di conservazione dei metadati siano proporzionati alle finalità legittime perseguite. Per la sicurezza informatica una conservazione adeguata viene individuata in circa 21 giorni. Tempi non proporzionati violano il principio di "limitazione della conservazione" del GDPR;
- la raccolta e conservazione dei log rispettino i principi di correttezza e trasparenza verso i lavoratori, che devono essere adeguatamente informati sul trattamento dei loro dati personali relativi alle comunicazioni elettroniche. I lavoratori devono essere pienamente consapevoli delle caratteristiche del trattamento, inclusi tempi di conservazione e controlli;
- i prodotti o servizi anche se di terzi siano conformi ai principi della protezione dei dati personali. Vanno, infatti, adottate misure tecniche e organizzative adeguate e fornire istruzioni al fornitore del servizio, come disattivare funzioni incompatibili con le finalità del trattamento e regolare i tempi di conservazione o anonimizzare i metadati raccolti.
Infine, si enfatizza che i produttori di applicazioni e servizi basati sul trattamento di dati personali devono integrare il rispetto della protezione dei dati già nella fase di progettazione e sviluppo.
“Documento di indirizzo”: è così che il Garante intitola il suo provvedimento; si tratta, infatti, di una vera e propria guida per i titolari del trattamento sull’applicazione del principio di accountability in un contesto molto delicato, come quello dei controlli a distanza dei lavoratori. Nessuna “nuova” prescrizione: ma attenzione! Occorre mettere in atto tutte le prescrizioni sulla protezione dei dati personali e sulla disciplina giuslavoristica per essere compliant alla normativa e non rischiare provvedimenti sanzionatori.
Con il provvedimento n. 364, l'Autorità affronta definitivamente la questione del trattamento dei metadati della posta elettronica aziendale, andando primariamente a definire chiaramente il concetto di metadati, da intendersi come gli elementi tecnici generati automaticamente dai sistemi di gestione della posta elettronica, quali indirizzi email, indirizzi IP, orari di invio e ricezione, dimensione del messaggio, presenza di allegati e, in alcuni casi, l'oggetto del messaggio.
Si tratta di dati generati automaticamente dai sistemi di posta elettronica, senza dipendere dalla volontà dell'utente che non devono essere confusi in alcun modo con il contenuto dell’e-mail (body-part) né con l’envelope della stessa (ovvero l’insieme delle informazioni che dettagliano il percorso che un messaggio ha seguito, la sua origine e vari altri dettagli tecnici rilevanti).
Il Garante sottolinea che questo provvedimento non introduce nuove prescrizioni per i titolari del trattamento, ma rappresenta una chiara guida basata sulle normative esistenti, mirata a sensibilizzare sui punti di intersezione tra la protezione dei dati personali e le normative sull'uso degli strumenti tecnologici nei luoghi di lavoro.
L'Autorità ribadisce l'importanza di applicare rigorosamente le disposizioni normative, inclusi i principi fondamentali del GDPR, come correttezza, trasparenza, limitazione della conservazione e responsabilizzazione. I titolari del trattamento devono, quindi, garantire che i tempi di conservazione dei metadati siano proporzionati alle finalità legittime, informando adeguatamente i lavoratori e assicurando la conformità dei prodotti e servizi utilizzati. Invero, la raccolta e conservazione generalizzata dei metadati della posta elettronica senza adeguati presupposti giuridici può portare alla raccolta di informazioni personali o opinioni non pertinenti alla valutazione professionale del lavoratore e, dunque, a trattamenti illeciti di dati personali, nonché controlli illegittimi sui lavoratori.
I titolari del trattamento devono, quindi garantire che:
- i tempi di conservazione dei metadati siano proporzionati alle finalità legittime perseguite. Per la sicurezza informatica una conservazione adeguata viene individuata in circa 21 giorni. Tempi non proporzionati violano il principio di "limitazione della conservazione" del GDPR;
- la raccolta e conservazione dei log rispettino i principi di correttezza e trasparenza verso i lavoratori, che devono essere adeguatamente informati sul trattamento dei loro dati personali relativi alle comunicazioni elettroniche. I lavoratori devono essere pienamente consapevoli delle caratteristiche del trattamento, inclusi tempi di conservazione e controlli;
- i prodotti o servizi anche se di terzi siano conformi ai principi della protezione dei dati personali. Vanno, infatti, adottate misure tecniche e organizzative adeguate e fornire istruzioni al fornitore del servizio, come disattivare funzioni incompatibili con le finalità del trattamento e regolare i tempi di conservazione o anonimizzare i metadati raccolti.
Infine, si enfatizza che i produttori di applicazioni e servizi basati sul trattamento di dati personali devono integrare il rispetto della protezione dei dati già nella fase di progettazione e sviluppo.
“Documento di indirizzo”: è così che il Garante intitola il suo provvedimento; si tratta, infatti, di una vera e propria guida per i titolari del trattamento sull’applicazione del principio di accountability in un contesto molto delicato, come quello dei controlli a distanza dei lavoratori. Nessuna “nuova” prescrizione: ma attenzione! Occorre mettere in atto tutte le prescrizioni sulla protezione dei dati personali e sulla disciplina giuslavoristica per essere compliant alla normativa e non rischiare provvedimenti sanzionatori.