HomeIco

Home

 InternalIco

Internal

 GlobalIco

Global

 ContattoIco

Contatto
it

Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra Cookie Policy.
Temi Posta elettronica aziendale e metadati: il Garante adotta la linea dura

Posta elettronica aziendale e metadati: il Garante adotta la linea dura

PrintMailRate-it

Ultimo aggiornamento del 28.02.2024 | Tempo di lettura ca. 4 minuti​


Con provvedimento n. 642 del 21 dicembre 2023 il Garante per la Protezione dei Dati Personali (il “Garante”) ha adottato un “documento di indirizzo” focalizzato sull'utilizzo dei programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e sul trattamento dei “metadati” ad essi associati, evidenziando i rischi connessi a tali trattamenti e fornendo a datori di lavoro pubblici e privati indicazioni utili a garantire il rispetto della vigente normativa in materia di protezione dei dati personali.

Nell’ambito degli accertamenti effettuati nel corso della propria attività ispettiva, l’Autorità ha infatti riscontrato un sempre più diffuso ricorso a programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud o as-a-service, in grado di raccogliere automaticamente - e, talvolta, in modo generalizzato e preventivo - i metadati relativi all'utilizzo degli account di posta elettronica dei dipendenti (quali la data, l'ora, il mittente, il destinatario, l'oggetto e le dimensioni dell'e-mail), senza che sia prevista in capo ai datori di lavoro di disabilitarne la raccolta e/o di personalizzare, riducendolo, il relativo periodo di conservazione.

Secondo l’Autorità, una simile prassi si porrebbe in conflitto non solo con i principi di privacy by design e by default, trasparenza, limitazione della conservazione e responsabilizzazione di cui al GDPR, ma anche con la disciplina nazionale posta a tutela dei lavoratori, sia in relazione al tema dei controlli distanza (art. 4 l. 20 maggio 1970, n. 300) che al divieto datore di lavoro di acquisire e comunque trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o comunque afferenti alla sua sfera privata (ex art. 8 della l. 300/1970 e art. 10 del d.lgs. 10 settembre 2003, n. 276).

Il Garante, pertanto, stabilisce in maniera perentoria che l’attività di raccolta e conservazione dei metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica non può essere superiore a sette giorni, estensibili di ulteriori 48 ore unicamente in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento. 

Ciò non significa che al datore di lavoro sia del tutto precluso conservare i medesimi dati - ad esempio per finalità di sicurezza informatica e tutela dell’integrità del patrimonio, anche informativo - per un lasso di tempo più esteso: in tal caso, tuttavia, sarà necessario ricorrere al processo autorizzativo di cui al primo comma dell’art. 4 della l. 300/1970, potendo tale trattamento tradursi in un indiretto controllo a distanza dell’attività dei lavoratori.

Il Garante ha dunque invitato i produttori dei servizi e delle applicazioni di gestione dei sistemi di posta elettronica a configurare tali strumenti in modo tale da evitare la raccolta generalizzata e senza termini dei metadati connessi alle e-mail, consentendo ai propri clienti di personalizzare le impostazioni di base “settando” il termine di conservazione prescelto.

L’impatto del provvedimento è quanto mai significativo: la raccolta e il successivo trattamento delle informazioni automaticamente prodotte dai sistemi informatici (come i dati di log o, per l’appunto, i metadati), infatti, costituiscono indubitabilmente un elemento essenziale - e irrinunciabile - per garantire la sicurezza dell’infrastruttura tecnologica di cui si avvale il datore di lavoro e, di conseguenza, la continuità operativa e l’integrità del patrimonio aziendale.

Se possiamo dunque presumere che ben pochi stakeholders sceglieranno di mettere mano alle proprie politiche in materia di sicurezza delle informazioni in senso peggiorativo, osservando il tempo di conservazione previsto dal Garante, diventerà indispensabile porre in essere gli adempimenti previsti dalla disciplina di settore per evitare di esporsi a sanzioni e provvedimenti dell’Autorità. 

In particolare, i datori di lavoro saranno tenuti a valutare l’opportunità di:
  • determinare un congruo termine di conservazione, nel rispetto del principio di limitazione della conservazione, assicurandosi che al suo spirare i dati vengano effettivamente cancellati dai sistemi; 
  • effettuare una valutazione d’impatto sul trattamento dei dati personali ai sensi dell’art. 35 del GDPR nonché, ove il trattamento si fondi sul legittimo interesse, un c.d. balancing test;
  • avviare il processo autorizzativo di cui all’art. 4 dello Statuto dei lavoratori, rivolgendosi ai sindacati o alla sede competente dell’Ispettorato del Lavoro;
  • informare in maniera adeguata i propri dipendenti e collaboratori dei trattamenti effettuati in relazione alla posta elettronica aziendale, inclusi i relativi metadati;
  • aggiornare in maniera conforme i registri delle attività di trattamento.

dalla newsletter
Legal Newsletter

autore

Contact Person Picture

Nicola Sandon

Avvocato

Senior Associate

+39 049 8046 911

Invia richiesta

Profilo

i nostri servizi

​data protection
Skip Ribbon Commands
Skip to main content
Deutschland Weltweit Search Menu