GDPR Privacy
Il 6 giugno 2024, il Garante per la Protezione dei Dati Personali ha emanato un importante provvedimento, n. 364, che introduce aggiornamenti significativi alle linee guida riguardanti la gestione della posta elettronica e il trattamento dei metadati nel contesto lavorativo. Questo documento di indirizzo è stato redatto alla luce delle osservazioni emerse dalla consultazione pubblica e mira a fornire una ricostruzione sistematica delle disposizioni applicabili, promuovendo la consapevolezza e la conformità normativa tra i datori di lavoro pubblici e privati.
Le nuove linee guida si inseriscono nell’ambito del Regolamento (UE) 2016/679 (GDPR) e del d.lgs. 30 giugno 2003, n. 196 (Codice Privacy), con un particolare focus sugli articoli 5, 6 e 88 del GDPR e gli articoli 113 e 114 del Codice Privacy. Il documento si prefigge di delineare i confini normativi entro cui i datori di lavoro devono operare per garantire il rispetto dei diritti fondamentali dei lavoratori in materia di protezione dei dati personali.
Per “metadati” si intendono “[…] informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client (le postazioni terminali che effettuano l’invio dei messaggi e che consentono la consultazione della corrispondenza in entrata accedendo ai mailbox elettroniche, definite negli standard tecnici quali MUA – Mail User Agent)“.
Una delle principali novità riguarda la raccolta e la conservazione dei metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti. Il Garante ha evidenziato che i programmi di gestione della posta elettronica, soprattutto quelli forniti in modalità cloud, possono raccogliere questi dati per impostazione predefinita e conservarli per un periodo esteso. Questo comporta il rischio di una raccolta preventiva e generalizzata dei metadati, ponendo potenziali limiti alla privacy dei dipendenti.
Per mitigare questi rischi, il Garante raccomanda ai datori di lavoro di assicurarsi che i sistemi utilizzati consentano di disabilitare la raccolta sistematica dei metadati o, almeno, di ridurre il periodo di conservazione. Questa misura è essenziale per conformarsi ai principi di minimizzazione dei dati e limitazione della conservazione previsti dal GDPR.
Il documento ribadisce la necessità per i datori di lavoro, in qualità di titolari del trattamento, di garantire la liceità dei trattamenti effettuati. Questo implica una verifica scrupolosa della sussistenza di un idoneo presupposto di liceità, come previsto dagli articoli 5 e 6 del GDPR, prima di procedere con qualsiasi trattamento di dati personali dei lavoratori.
Inoltre, il Garante sottolinea l’importanza di effettuare una valutazione d’impatto sulla protezione dei dati (DPIA) qualora i trattamenti comportino un rischio elevato per i diritti e le libertà degli interessati. Questa valutazione è particolarmente rilevante in caso di raccolta e memorizzazione dei log della posta elettronica, data la vulnerabilità dei lavoratori e il rischio di monitoraggio sistematico.
Per garantire la sicurezza dei dati, i datori di lavoro devono adottare adeguate misure tecniche e organizzative. Questo include la garanzia che solo i soggetti autorizzati abbiano accesso ai metadati e che ogni accesso sia tracciato. Il principio di responsabilizzazione (accountability) previsto dal GDPR impone ai titolari del trattamento di dimostrare la conformità alle normative attraverso l’adozione di misure idonee.
Il Garante richiama anche i fornitori di servizi di posta elettronica a considerare la protezione dei dati fin dalla fase di progettazione dei loro prodotti e servizi, in conformità con il principio di privacy by design e by default. Questo implica che i fornitori devono contribuire a garantire che i titolari del trattamento possano adempiere ai loro obblighi di protezione dei dati.
Alla luce di queste nuove disposizioni, i datori di lavoro sono invitati a:
Articoli correlati