Home

Internal

Global

Contatto

de|en|it

Rödl & Partner Italia e Studio Gottardo per la partnership tra Officine MTM S.p.A. e Gruppo Dawang Metals |

In tutto il mondo

Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra Cookie Policy.

Documento di indirizzo del Garante sulla conservazione dei metadati della posta elettronica

Ultimo aggiornamento del 25.07.2024 | Tempo di lettura ca. 4 minuti

Der Text ist auch auf Deutsch verfügbar »

A seguito della consultazione pubblica avviata il 22 febbraio 2024 sul provvedimento del 21 dicembre 2023 - Documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, il Garante Privacy italiano ha provveduto, in data 6 giugno 2024, alla pubblicazione del provvedimento conclusivo.

Tale provvedimento ha fornito un chiarimento sulla definizione di “metadati”, ovvero ha ad oggetto le informazioni registrate automaticamente dai sistemi di posta elettronica nei log (MTA - Mail Transport Agent) e nei client che possono includere gli indirizzi e-mail del mittente e del destinatario, gli indirizzi IP, gli orari di invio, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati, l’oggetto del messaggio spedito o ricevuto.

Con il provvedimento in parola, il Garante ha chiarito che i metadati possano essere tracciati per un periodo di 21 giorni, se il loro trattamento sia finalizzato al buon funzionamento del sistema di posta. In tal caso, sarà sufficiente predisporre informativa ai sensi dell’art. 13 GDPR e 4, c. 3 Stat. Lav., regolamento strumenti aziendali, aggiornare i registri del trattamento e svolgere valutazione di Impatto e di legittimo interesse.

Si tratta, infatti, di quegli adempimenti tipicamente prescritti a tutti i titolari del trattamento in occasione del trattamento dei dati dei dipendenti per garantire lo svolgimento delle mansioni lavorative e dunque la corretta esecuzione del contratto di lavoro, nei limiti della normativa giuslavoristica che sancisce il generale divieto di monitoraggio a distanza del lavoratore. Il datore di lavoro può dunque concedere ai dipendenti strumenti aziendali, più o meno sofisticati (dalla posta elettronica aziendale, a tool intelligenti per la gestione di alcuni adempimenti), purché la loro supervisione, ai fini della tutela del patrimonio aziendale e della sicurezza informativa, non si traduca nel tracciamento indiscriminato e vessatorio del singolo.

Solitamente, per valutare la compliance privacy-labour del titolare, si procede allo svolgimento di una mappatura dei sistemi aziendali, per individuarne funzionalità e trattamenti connessi e dunque sintetizzarne gli elementi tipici ed i possibili rischi nei documenti citati (l’informativa ex art. 13 GDPR e 4, c. 3 Stat. Lav., il regolamento strumenti aziendali), nonché per procedere alla valutazione del rischio intrinseco del trattamento svolto, delle misure di mitigazione individuate, degli impatti per gli interessati.

Nel caso in cui, invece i metadati venissero tracciati (ancorchè su sistemi diversi dalla posta) anche oltre il termine di 21 giorni, se il loro trattamento fosse finalizzato a scopi diversi rispetto al buon funzionamento del sistema di gestione della posta elettronica (es. adempimento norme cybersecurity, antifrode, audit, finalità difensive), in tal caso sarà necessario non solo predisporre informativa ai sensi dell’art. 4, c. 3 Stat. Lav., regolamento strumenti aziendali, aggiornare i registri del trattamento e svolgere Valutazione di Impatto e di legittimo interesse, ma stante la potenzialità di un controllo indiretto sull’attività di lavoro, occorrerà raggiungere preventivamente a norma dell’art. 4 c. 1 Stat. Lav. un accordo sindacale/ottenere apposita autorizzazione amministrativa da parte dell’Ispettorato competente.

Il Garante italiano ha dunque ritenuto che una conservazione di lunga durata di tale categoria di dati possa tradursi in un potenziale controllo indiretto sull’attività lavorativa, con la conseguenza che le aziende che abbiano sino a questo momento adottato retention dei metadati superiori ai 21 giorni e per scopi ulteriori rispetto alla mera gestione della posta elettronica aziendale debbano attivarsi al fine di ottenere, secondo il consueto procedimento, apposito accordo sindacale o autorizzazione dell’ITL.

Quali, quindi, i prossimi step per le aziende italiane, al fine di non incorrere in sanzioni?

Predisporre/aggiornare la mappatura strumenti aziendali per fotografare lo status dei cc.dd. log di trasporto (ormai noti come metadati);
Individuare la data retention dei metadati e le singole finalità di gestione/conservazione;
Verificare, con il supporto del provider di riferimento, se sia possibile modificare l’impostazione della data retention per la sua riduzione nei 21 giorni, tenuto conto delle effettive esigenze aziendali di conservazione;
Nel caso in cui risulti fondamentale per l’azienda procedere alla conservazione oltre i 21 giorni, avviare l’iter per l’ottenimento dell’accordo sindacale / per l’autorizzazione dell’ITL;
Verificare/aggiornare il registro dei trattamenti e il relativo privacy risk assessment;
Verificare/aggiornare la valutazione d’impatto;
Verificare/aggiornare la valutazione di legittimo interesse;
Verificare/aggiornare l’informativa ex art. 13 GDPR e art. 4 St. Lav.;
Verificare/aggiornare il regolamento strumenti aziendali.