22 Feb L’impatto del provvedimento n. 642/2023 sulle aziende: rivoluzione nella gestione dei metadati nelle e-mail dei dipendenti
Il 21 dicembre 2023 rappresenta una data cruciale per la privacy e la protezione dei dati personali nel mondo del lavoro, grazie all’introduzione del Provvedimento n. 642 da parte del Garante per la Protezione dei Dati Personali. Questo documento segna l’inizio di una nuova era per le aziende italiane, sia nel settore pubblico che privato, imponendo standard più elevati per la gestione della posta elettronica e dei metadati dei lavoratori.
Il Provvedimento n. 642/2023 introduce direttive dettagliate sull’uso di software e servizi digitali per il trattamento dei dati email dei dipendenti. L’obiettivo è duplice: da un lato, assicurare che imprenditori e responsabili del trattamento dei dati adottino politiche efficaci per proteggere la privacy dei lavoratori; dall’altro, prevenire il rischio di violazioni delle normative sulla protezione dei dati personali, ponendo particolare attenzione alle libertà e alla dignità dei lavoratori, come sottolineato negli articoli 113 e 114 del Codice Privacy.
Queste nuove disposizioni richiedono un impegno concreto da parte delle aziende, che devono ora rivedere e aggiornare le proprie procedure di gestione delle caselle di posta aziendali, assicurando che siano in linea con i principi di trasparenza, minimizzazione dei dati e sicurezza. Tra gli aspetti fondamentali del Provvedimento, figurano l’importanza di informare i dipendenti sul trattamento dei loro dati personali e l’implementazione di misure tecniche e organizzative adeguate a garantire la loro protezione.
-
Le principali motivazioni del provvedimento
Nel corso di alcune indagini condotte dal Garante Privacy in merito ai trattamenti dei dati personali nell’ambito lavorativo, è stato identificato un potenziale rischio legato all’uso di programmi e servizi informatici basati su cloud per la gestione della posta elettronica.
In particolare questo e ciò che è emerso nell’ordinanza di ingiunzione nei confronti della regione Lazio del 1 dicembre 2022 [9833530].
Infatti, da una indagine dell’Autorità, è risultato che questi strumenti possono raccogliere automaticamente e in modo generalizzato i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti, come ad esempio data, ora, mittente, destinatario, oggetto e dimensione delle e-mail oltre al fatto che tali dati vengono conservati per un lungo periodo di tempo. È emerso che in alcuni casi i fornitori di tali servizi possono limitare le possibilità del cliente (il datore di lavoro) di modificare le impostazioni di base del software al fine di disabilitare la raccolta sistematica di questi dati o di ridurre il periodo di conservazione degli stessi.
- Cosa sono i metadati contenuti nella posta elettronica?
I metadati contenuti in un account di posta elettronica sono quelle informazioni che descrivono e forniscono potenzialmente, al Titolare del trattamento, dettagli sulla comunicazione del lavoratore, ma che non mostrano il contenuto effettivo dei messaggi di posta elettronica. Questi metadati possono includere diversi tipi di Informazioni, come:
- Data e Ora di invio e ricezione dei messaggi.
- Informazioni sul Mittente e sul Destinatario: Indirizzi e-mail del mittente e del destinatario, nomi, eventualmente anche i loro ruoli o posizioni all’interno dell’azienda.
- Stato del messaggio: Indica se l’e-mail è stata letta, eliminata, spostata in una cartella diversa, ecc.
- Informazioni sui Server: Indirizzi IP dei server utilizzati per inviare o ricevere la posta, nonché altri dettagli tecnici relativi al percorso del messaggio in rete.
- Dimensioni del Messaggio: La dimensione totale del messaggio di posta elettronica, inclusi tutti gli allegati.
- Log di Accesso e di Attività: Registrazione di quando un utente accede al proprio account di posta elettronica, da quale dispositivo, e le azioni intraprese (ad esempio, l’invio o la cancellazione di un messaggio).
- Informazioni sugli Allegati: Tipi di file allegati, loro dimensioni e, in alcuni casi, metadati specifici degli allegati (come la data di creazione di un documento).
- Cosa Cambia per le Aziende
Il Provvedimento stabilisce, all’interno del documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (all. n. 1), che i programmi e le piattaforme utilizzate per la gestione della posta elettronica aziendale debbano permettere la modifica delle impostazioni per limitare la raccolta e la conservazione dei metadati. In particolare, il Provvedimento prescrive che il periodo massimo di conservazione dei metadati non dovrebbe superare i sette (7) giorni, con la possibilità di un’estensione di ulteriori 48 ore in casi specifici. Questo implica una revisione e rivalutazione sostanziale dei software in uso per la gestione dei servizi di posta elettronica e, potenzialmente, la necessità di sostituire l’attuale service provider con altri che offrono soluzioni che non consentono un adeguato controllo dei dati raccolti.
ACCOUNTABILITY E RESPONSABILIZZAZIONE DEI TITOLARI
In attuazione del principio di “responsabilizzazione” (cfr. art. 5, par. 2, e 24 del Regolamento), spetta al titolare del trattamento valutare se i trattamenti che si intendono realizzare possono presentare un rischio elevato per i diritti e le libertà delle persone fisiche – in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalità perseguite – che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali (cfr. cons. 90 e artt. 35 e 36 del Regolamento).
Le aziende sono inoltre tenute a seguire le procedure di garanzia previste dall’art. 4 dello Statuto dei Lavoratori, che richiedono un accordo sindacale o l’autorizzazione dell’Ispettorato del lavoro per estendere il periodo di conservazione dei dati. Questo aspetto introduce un ulteriore livello di complessità organizzativa e richiede un dialogo aperto e costruttivo con le rappresentanze sindacali.
- Implicazioni Organizzative
Le aziende devono dunque adesso affrontare sfide organizzative significative, inclusa la necessità di raggiungere accordi sindacali o richiedere autorizzazione preventiva all’INL per delineare politiche di conservazione dei dati conformi alle nuove norme. Questo processo potrebbe richiedere tempo e risorse, tenuto conto dell’importanza di iniziare il dialogo con le rappresentanze dei lavoratori il prima possibile. Al momento alcune piattaforme note come Microsoft Exchange e Google Workspace danno già la possibilità, agli Amministratori di Sistema, di modificare le impostazioni per limitare la raccolta e la conservazione dei metadati delle email.
- Responsabilità e Sanzioni
La mancata verifica della sussistenza dei presupposti di liceità stabiliti dall’art. 4 della l. 20 maggio 1970, n. 300, cui fa rinvio l’art. 114 del Codice, ed il mancato rispetto delle nuove disposizioni espone i datori di lavoro a potenziali responsabilità, soprattutto se acquisiscono informazioni personali o opinioni degli interessati attraverso i metadati della corrispondenza o se i tempi di conservazione dei metadati non sono proporzionati alle finalità legittime.
Il rispetto di queste disposizioni è essenziale per la legittimità del trattamento dei dati, e la loro violazione può portare non solo all’imposizione di sanzioni amministrative pecuniarie, come previsto dall’articolo 83, paragrafo 5, lettera d) del Regolamento, ma può anche dar luogo a responsabilità penali ai sensi dell’articolo 171 del Codice Privacy e dell’articolo 38 dello Statuto dei Lavoratori.
- Riflessioni finali
Il Provvedimento n. 642 del 21 dicembre 2023 segna una tappa importante nella direzione di rafforzare la salvaguardia dei dati personali all’interno delle realtà lavorative. Questo Provvedimento obbliga le imprese a riesaminare accuratamente le proprie politiche e procedure riguardanti il trattamento dei dati personali dei lavoratori, passaggio necessario per salvaguardare la privacy dei dipendenti e scongiurare rischi sanzionatori.
Per informazioni ed approfondimenti potete contattarci su: info@tutelaprivacy.com o via telefono al (+39) 011-5534737