{"id":18711,"date":"2024-02-22T13:40:33","date_gmt":"2024-02-22T12:40:33","guid":{"rendered":"https:\/\/www.albeeassociati.it\/?p=18711"},"modified":"2024-11-12T09:34:38","modified_gmt":"2024-11-12T08:34:38","slug":"mail-aziendali-attenzione-al-tempo-di-conservazione-dei-metadati","status":"publish","type":"post","link":"https:\/\/www.albeeassociati.it\/en\/mail-aziendali-attenzione-al-tempo-di-conservazione-dei-metadati\/","title":{"rendered":"Mail aziendali: attenzione al tempo di conservazione dei metadati"},"content":{"rendered":"\n

\u00c8 stato pubblicato il 06\/02\/2024 il provvedimento del 21\/12\/2023 con cui il Garante della privacy ha adottato il documento di indirizzo sui Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento di metadati<\/em>.<\/p>\n\n\n\n

Il documento \u00e8 complesso ed \u00e8 gi\u00e0 stato oggetto di ampio dibattito tra gli esperti in materia di privacy e di diritto del lavoro, tant\u2019\u00e8 che nei giorni scorsi lo stesso Ministero del Lavoro ha preannunciato che si sta cercando di individuare una corsia semplificata con l\u2019Ispettorato del lavoro<\/em>, in quanto dobbiamo fare in modo che le aziende possano adempiere agli obblighi senza troppe complicazioni.<\/em><\/p>\n\n\n\n

Cerchiamo di semplificare.<\/p>\n\n\n\n

Quali sono le indicazioni del Garante?<\/strong><\/p>\n\n\n\n

In sintesi, il Garante ha affermato che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti<\/strong> \u2013 specialmente nel caso in cui siano in modalit\u00e0 cloud o as-a-service \u2013 devono impedire al datore di lavoro la raccolta dei metadati<\/em><\/strong> <\/em>(ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell\u2019email) o comunque limitarne il periodo di conservazione per un periodo massimo di 7 giorni, estensibile per massimo 48 ore<\/strong> in presenza di comprovate e documentate esigenze.<\/p>\n\n\n\n

Qualora, per esigenze organizzative o produttive o di protezione del patrimonio, i datori di lavoro abbiano la necessit\u00e0 di trattare i metadati<\/em> per un periodo superiore, dovranno espletare le procedure di garanzia previste dell\u2019art. 4 dello Statuto dei Lavoratori: per intenderci stiamo parlando delle procedure previste per l\u2019installazione degli impianti di videosorveglianza, che prevedono la stipula di un accordo con le rappresentanze sindacali o l\u2019ottenimento dell\u2019autorizzazione da parte dell\u2019Ispettorato del lavoro.<\/p>\n\n\n\n

In assenza dell\u2019espletamento delle procedure dell\u2019art. 4, l\u2019utilizzo di tali programmi e servizi informatici per un tempo superiore a quello indicato dal Garante (7 giorni, estensibile di ulteriori 48 ore in presenza di determinate condizioni) rende inutilizzabili i metadati<\/em> e sanzionabile il datore di lavoro.<\/p>\n\n\n\n

Quali sono le finalit\u00e0 del provvedimento?<\/strong><\/p>\n\n\n\n

Il documento ha la finalit\u00e0 di tutelare il trattamento di dati personali nel contesto lavorativo<\/strong> per prevenire il rischio che programmi\u00a0e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalit\u00e0 cloud, possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati<\/em> relativi all\u2019utilizzo degli account di posta elettronica in uso ai dipendenti, conservando gli stessi per un esteso arco temporale.<\/p>\n\n\n\n

L\u2019impiego di tali programmi e servizi informatici d\u00e0, infatti, luogo a \u201ctrattamenti\u201d di dati personali, riferiti a \u201cinteressati\u201d, identificati o identificabili nel contesto lavorativo.<\/p>\n\n\n\n

Pertanto, \u00e8 necessario che il datore di lavoro – in quanto titolare – prima di effettuare il trattamento di dati personali dei lavoratori – in quanto interessati – attraverso tali programmi e servizi, osservi scrupolosamente tutti gli adempimenti in materia di privacy.<\/p>\n\n\n\n

Non solo, come si evince dal provvedimento, i dati acquisiti con i predetti programmi e servizi informatici deve essere fatto nel rispetto dell\u2019art. 4 dello Statuto dei Lavori<\/strong>, in quanto l\u2019utilizzo dei metadati <\/em>pu\u00f2 consentire un controllo sui lavoratori.<\/p>\n\n\n\n

Dagli elementi ricavabili dai dati esteriori della corrispondenza (metadati<\/em>), come l\u2019oggetto, il mittente e il destinatario e altre informazioni che accompagnano i dati in transito, definendone profili temporali (come la data e l\u2019ora di invio\/ricezione), nonch\u00e9 dagli aspetti quali-quantitativi anche in ordine ai destinatari e alla frequenza di contatto (in quanto anche questi dati sono, a propria volta, suscettibili di aggregazione, elaborazione e di controllo), \u00e8 possibile acquisire informazioni riferite alla sfera personale o alle opinioni del lavoratore.<\/p>\n\n\n\n

Cosa occorre fare?<\/strong><\/p>\n\n\n\n

Inutile farsi prendere dal panico, le soluzioni ci sono.<\/p>\n\n\n\n

Innanzitutto, il datore di lavoro deve verificare il sistema di gestione della posta elettronica in uso e il sistema<\/strong> di conservazione dei metadati<\/em> attualmente osservato<\/strong>.<\/p>\n\n\n\n

Il datore di lavoro deve poi valutare la congruit\u00e0 del sistema e in particolare del tempo di conservazione dei metadati<\/em> rispetto alle esigenze organizzative, produttive e di protezione del patrimonio e, di conseguenza, attivare, se del caso, le procedure dell\u2019art. 4 dello Statuto dei Lavoratori per conservare i metadati<\/em> oltre il termine indicato dal Garante.<\/p>\n\n\n\n

Last but not least il datore di lavoro deve verificare di essere in regola con gli adempimenti in materia di privacy, tra cui valutare le condizioni di liceit\u00e0 per il trattamento dei dati dei dipendenti, aggiornare l\u2019informativa sul trattamento dei dati, verificare gli eventuali rischi per i diritti e le libert\u00e0 degli interessati connessi al trattamento e, in caso di rischio elevato, realizzare la valutazione di impatto.<\/p>\n","protected":false},"excerpt":{"rendered":"

\u00c8 stato pubblicato il 06\/02\/2024 il provvedimento del 21\/12\/2023 con cui il Garante della privacy ha adottato il documento di indirizzo sui Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento di metadati. Il documento \u00e8 complesso ed \u00e8 gi\u00e0 stato oggetto di ampio dibattito tra gli esperti in materia […]<\/p>\n","protected":false},"author":3,"featured_media":18714,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[25,11],"tags":[],"acf":[],"_links":{"self":[{"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/posts\/18711"}],"collection":[{"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/comments?post=18711"}],"version-history":[{"count":6,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/posts\/18711\/revisions"}],"predecessor-version":[{"id":18721,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/posts\/18711\/revisions\/18721"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/media\/18714"}],"wp:attachment":[{"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/media?parent=18711"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/categories?post=18711"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/tags?post=18711"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}