Metadati: le nuove linee guida del Garante

June 16, 2024 by Alberto Bozzo Non categorizzato
Home | Non categorizzato | Metadati: le nuove linee guida del Garante

Rischi di raccolta e conservazione dei metadati di posta elettronica nel contesto lavorativo

Il Garante per la protezione dei dati personali ha recentemente avviato una consultazione pubblica riguardo al trattamento dei metadati relativi all’utilizzo della posta elettronica aziendale da parte dei dipendenti, sollevando importanti questioni sulla corretta gestione di tali dati nel rispetto della privacy dei lavoratori.

Nell’ambito di recenti accertamenti condotti dal Garante per la protezione dei dati personali riguardo ai trattamenti di dati effettuati nel contesto lavorativo, è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, anche quando forniti in modalità cloud, raccolgono per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account email aziendali da parte dei dipendenti. 

Questi dati vengono conservati per lunghi periodi di tempo. Nel resto del documento, questi dati saranno chiamati alternativamente “metadati di posta elettronica” o “log di posta elettronica”.

Raccolta generalizzata metadati email dipendenti

cybersecurity360.it

Le informazioni relative alle operazioni di invio, ricezione e smistamento dei messaggi possono includere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, ritrasmissione o ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in alcuni casi, a seconda del sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto.

Questi metadati vengono spesso conservati per un periodo di tempo esteso.

In alcuni casi, è stato riscontrato che i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi. 

Ciò solleva preoccupazioni riguardo alla conformità di tali pratiche con la normativa sulla protezione dei dati personali e con le disposizioni giuslavoristiche in materia di controllo a distanza dei lavoratori.

I metadati delle email, pur non entrando nel merito del contenuto dei messaggi, possono fornire informazioni dettagliate sulle attività e le comunicazioni dei dipendenti, configurandosi come una forma di monitoraggio invasivo se raccolti e conservati in modo indiscriminato. 

Il Garante ha quindi ritenuto necessario intervenire per promuovere una maggiore consapevolezza tra i datori di lavoro pubblici e privati riguardo alle implicazioni di tali trattamenti e per fornire indicazioni volte a prevenire violazioni della privacy dei lavoratori.

Metadati Email: Definizione Tecnica

blog.cloudhq.net

I metadati menzionati in questo documento (sia quelli di origine puramente tecnica sia quelli, come il campo “Oggetto”, determinati dagli utenti) sono registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utente.

Questi elementi corrispondono tecnicamente alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica, noti come MTA (Mail Transfer Agent). 

Questi metadati vengono prodotti durante l’interazione tra i diversi server coinvolti nel processo di invio e ricezione delle email, nonché tra i server e i client, ovvero le postazioni terminali utilizzate dagli utenti per inviare i messaggi e consultare la posta in arrivo accedendo alle caselle di posta elettronica, definite negli standard tecnici come MUA (Mail User Agent).

I metadati di cui parla il documento sono le informazioni registrate nei log dei sistemi server che gestiscono la posta elettronica, chiamati MTA (Mail Transfer Agent). Questi metadati vengono generati durante l’interazione tra i vari server che inviano e ricevono email e tra i server e i client, ovvero i dispositivi usati dagli utenti per inviare e ricevere email, definiti come MUA (Mail User Agent).

Questi metadati sono utili per vari scopi, come la sicurezza e la gestione della rete, ma possono anche essere sensibili dal punto di vista della privacy, motivo per cui il Garante della Privacy li monitora attentamente.

I metadati MTA forniscono dettagli sul percorso seguito da un messaggio di posta elettronica e sono necessari per il corretto funzionamento del servizio email stesso. 

Essi includono informazioni come gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei computer coinvolti nell’invio del messaggio, gli orari di invio, ritrasmissione e ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in alcuni casi, anche l’oggetto del messaggio.

Sebbene i metadati non entrino nel merito del contenuto dei messaggi, la loro raccolta e conservazione sistematica e prolungata può sollevare problematiche in termini di protezione dei dati personali dei dipendenti e di controllo a distanza dell’attività lavorativa. 

Il Garante ha quindi ritenuto necessario fornire indicazioni specifiche riguardo al trattamento di tali informazioni nel contesto lavorativo, al fine di garantire il rispetto dei principi di limitazione delle finalità, minimizzazione dei dati e protezione fin dalla progettazione e per impostazione predefinita sanciti dal GDPR.

Mail Transfer Agent (MTA) Explained

mailtrap.io

Un Mail Transfer Agent (MTA), noto anche come Message Transfer Agent o mail relay, è un software che si occupa del trasferimento delle email tra i computer del mittente e del destinatario. 

L’MTA svolge un ruolo essenziale nel sistema di gestione dei messaggi di posta elettronica su Internet, occupandosi di tutto ciò che avviene tra l’invio e la consegna dell’email nella casella del destinatario.

Quando un’email viene inviata, l’MTA la riceve dal Mail Submission Agent (MSA), che a sua volta l’ha ricevuta dal Mail User Agent (MUA), ovvero il client di posta elettronica utilizzato dall’utente. Una volta che l’MTA ha preso in carico l’email, si occupa del relaying, ovvero dell’inoltro del messaggio ad altri MTA se il destinatario non è ospitato localmente, fino a raggiungere il Mail Delivery Agent (MDA) che consegnerà l’email nella casella del destinatario.Gli MTA utilizzano il protocollo SMTP (Simple Mail Transfer Protocol) per l’invio delle email e possono impiegare estensioni come ESMTP per funzionalità avanzate. 

Operano secondo un modello store-and-forward, mettendo in coda la posta in uscita fino alla conferma di consegna o alla scadenza di limiti temporali predefiniti. 

In caso di mancata consegna entro i termini stabiliti, l’email viene restituita al client di posta.

Gli MTA svolgono quindi un ruolo centrale nella deliverability delle email, gestendo la reputazione del mittente, filtrando lo spam, autenticando le email, ottimizzando i percorsi di consegna e gestendo gli errori di consegna. 

Possono contribuire a proteggere e rafforzare la reputazione del mittente attraverso il warm-up graduale di nuovi indirizzi IP, la configurazione di flussi di invio conformi ai limiti dei domini destinatari e il reinvio delle email in caso di greylisting.

La scelta dell’MTA più adatto dipende da diversi fattori, tra cui le esigenze specifiche dell’organizzazione, il volume di email da gestire, le funzionalità richieste e il budget disponibile. 

Tra gli MTA più diffusi vi sono Sendmail/Proofpoint, Postfix, Exim, OpenSMTP, Mutt, Alpine e Qmail, ciascuno con caratteristiche e punti di forza specifici.

I Metadati Sono come le “impronte digitali” delle email. Non contengono il contenuto delle email, ma informazioni su di esse, come chi l’ha inviata, a chi è stata inviata, quando è stata inviata, ecc. MTA (Mail Transfer Agent): È il “postino” digitale. È il software che prende la tua email e la consegna al server di destinazione. MUA (Mail User Agent): È il “client di posta” che usi, come Outlook o Gmail. È il software che usi per leggere e inviare email.

Esempi

  1. Invio di un’email dal lavoro: Quando invii un’email dal tuo account aziendale, il MTA registra che hai inviato un’email al tuo collega alle 10:00 del mattino. Questo è un metadato.
  2. Ricezione di un’email su Gmail: Quando ricevi un’email su Gmail, il MUA (Gmail) registra che hai ricevuto un’email da un amico alle 14:30. Questo è un altro esempio di metadato.

Metadati email: registrazione automatica

ictsecuritymagazine.com

I metadati delle email a cui fa riferimento il documento di indirizzo del Garante comprendono una vasta gamma di informazioni relative alle operazioni di invio, ricezione e smistamento dei messaggi di posta elettronica. Questi possono includere:

  • Gli indirizzi email del mittente e del destinatario
  • Gli indirizzi IP dei server o dei computer client coinvolti nell’instradamento del messaggio
  • Gli orari di invio, ritrasmissione e ricezione del messaggio
  • La dimensione del messaggio di posta elettronica
  • La presenza e la dimensione di eventuali allegati
  • In alcuni casi, a seconda del sistema di gestione della posta utilizzato, anche l’oggetto del messaggio spedito o ricevuto.

È importante sottolineare che questi metadati, sia quelli di natura prettamente tecnica sia quelli determinati dagli utenti come l’oggetto, vengono registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione o dalla volontà dell’utilizzatore. 

Ciò significa che tali informazioni vengono raccolte e conservate in modo sistematico, senza che l’utente ne sia necessariamente consapevole o possa controllarle.

La raccolta generalizzata e la conservazione prolungata di questi metadati sollevano preoccupazioni in termini di protezione dei dati personali dei dipendenti e di potenziale controllo a distanza dell’attività lavorativa, aspetti sui quali il Garante ha ritenuto necessario fornire indicazioni specifiche.

Metadati Email vs Envelope

iusletter.com

È importante distinguere i metadati delle email, come intesi nel documento di indirizzo del Garante, dalle informazioni contenute nel corpo del messaggio (body-part) o integrate nell’envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici.

Gli stessi metadati come qui intesi non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate – ancorché talvolta non immediatamente visibili agli utenti dei software “client” di posta elettronica (i cosiddetti MUA – Mail User Agent) – a formare il cosiddetto envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici.

I metadati di cui parliamo in questo documento non devono essere confusi con il contenuto effettivo delle email (cioè il testo del messaggio). I metadati includono informazioni come gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server coinvolti, gli orari di invio e ricezione, ecc. Questi dati vengono registrati automaticamente dai sistemi di posta elettronica.

D’altra parte, le informazioni nel corpo del messaggio (body-part) o nell’envelope (che contiene dettagli tecnici sull’instradamento e la provenienza del messaggio) fanno parte integrante del messaggio stesso. Anche se l’envelope contiene metadati, essi sono inseparabili dal messaggio e rimangono sotto il controllo dell’utente che invia o riceve l’email.

In sintesi:

  • Metadati: Informazioni tecniche registrate automaticamente (es. indirizzi email, orari).
  • Body-part: Il testo effettivo del messaggio.
  • Envelope: Dettagli tecnici sull’instradamento del messaggio, parte del messaggio stesso.
Return-Path: <mittente@example.com>
Received: from mail.example.com (mail.example.com [192.0.2.1])
    by mx.google.com with ESMTP id xyz123abc456
    for <destinatario@example.com>;
    Fri, 15 Jun 2024 10:15:30 -0700 (PDT)
Received: from [192.0.2.2] (helo=mail.example.com)
    by mail.example.com with esmtpa (Exim 4.85)
    (envelope-from <mittente@example.com>)
    id 1XyZaB-0001cD-1A
    for destinatario@example.com; Fri, 15 Jun 2024 10:15:28 -0700
Date: Fri, 15 Jun 2024 10:15:28 -0700
From: Mittente <mittente@example.com>
To: Destinatario <destinatario@example.com>
Subject: Esempio di envelope di un'email
Message-ID: <1234567890@mail.example.com>

Spiegazione

  • Return-Path: Indica l’indirizzo email a cui devono essere inviate le risposte automatiche (ad esempio, se l’email non può essere consegnata).
  • Received: Mostra il percorso che l’email ha seguito attraverso i server di posta elettronica per arrivare al destinatario. Ogni riga “Received” rappresenta un passaggio attraverso un server.
  • Date: La data e l’ora in cui l’email è stata inviata.
  • From: L’indirizzo email del mittente.
  • To: L’indirizzo email del destinatario.
  • Subject: L’oggetto dell’email.
  • Message-ID: Un identificatore unico per l’email.

Le informazioni contenute nell’envelope, ancorché corrispondenti a metadati registrati automaticamente nei log dei servizi di posta, sono inscindibili dal messaggio di cui fanno parte integrante e che rimane sotto l’esclusivo controllo dell’utente (sia esso il mittente o il destinatario dei messaggi).

I metadati presi in considerazione dal Garante nel contesto della posta elettronica includono:

  1. Indirizzi email del mittente e del destinatario.
  2. Indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio.
  3. Orari di invio, ritrasmissione o ricezione del messaggio.
  4. Dimensione del messaggio.
  5. Presenza e dimensione di eventuali allegati.
  6. Oggetto del messaggio (in alcuni casi, a seconda del sistema di gestione del servizio di posta elettronica utilizzato).

Questi metadati sono registrati automaticamente dai sistemi di posta elettronica e possono fornire informazioni dettagliate sull’utilizzo degli account di posta elettronica dei dipendenti, conservando tali dati per un lungo periodo di tempo.

A differenza dei metadati registrati nei log dei server di posta, che vengono raccolti e conservati indipendentemente dalla volontà degli utenti, le informazioni contenute nell’envelope sono strettamente legate al messaggio e non possono essere trattate separatamente da esso.

Pertanto, mentre i metadati dei log possono sollevare problematiche in termini di protezione dei dati personali e controllo a distanza se raccolti e conservati in modo generalizzato e prolungato, le informazioni dell’envelope rientrano nella sfera di controllo dell’utente e sono tutelate in quanto parte integrante della comunicazione.

Il Garante ha quindi ritenuto necessario fare questa distinzione per chiarire l’ambito di applicazione delle indicazioni fornite nel documento di indirizzo, che si concentrano specificamente sui metadati registrati automaticamente dai sistemi di posta elettronica e non sulle informazioni contenute nei messaggi stessi.

Le indicazioni contenute nel documento del garante riguardo ai tempi di conservazione dei metadati, come definiti sopra, non si applicano ai contenuti dei messaggi di posta elettronica (né alle informazioni tecniche che ne fanno parte integrante). Questi contenuti rimangono sotto il controllo dell’utente/lavoratore all’interno della casella di posta elettronica a lui assegnata.

Questo documento non introduce nuove regole o obblighi per i responsabili del trattamento dei dati.

Il suo scopo è fornire una panoramica delle normative esistenti in questo ambito specifico, basandosi su precedenti decisioni dell’Autorità.

L’obiettivo è richiamare l’attenzione su alcuni punti di intersezione tra le leggi sulla protezione dei dati e le norme che regolano l’uso delle tecnologie nei luoghi di lavoro.

In questa ottica, l’Autorità fornisce ai datori di lavoro delle linee guida sulla possibilità di trattare tali informazioni per garantire il corretto funzionamento e l’uso regolare del sistema di posta elettronica, inclusa la sicurezza informatica necessaria.

Questo può essere fatto senza dover attivare la procedura di garanzia prevista dall’art. 4, comma 1, della legge 20/5/1970, n. 300, come richiamato dall’art. 114 del Codice.

Dispositivo dell’art. 114 Codice della privacy

1. Resta fermo quanto disposto dall’articolo 4 della legge 20 maggio 1970, n. 300.

Stante la natura orientativa del documento di indirizzo, dallo stesso non discendono nuovi adempimenti o responsabilità.

A seguito delle osservazioni e delle proposte ricevute dal Garante durante la consultazione pubblica a cui è stato sottoposto questo documento (provvedimento del 22 febbraio 2024, n. 127, doc. web n. 9987885; Gazzetta Ufficiale n. 64 del 16 marzo 2024), sono state apportate alcune modifiche e integrazioni al documento di indirizzo.

Tutela Costituzionale Email Dipendenti

altalex.com

Il Garante per la protezione dei dati personali ha costantemente affermato che il contenuto dei messaggi di posta elettronica, così come i dati esteriori delle comunicazioni e i file allegati, riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche a livello costituzionale.

 In particolare, gli articoli 2 e 15 della Costituzione italiana proteggono il nucleo essenziale della dignità della persona e il pieno sviluppo della sua personalità nelle formazioni sociali.Ciò implica che, anche nel contesto lavorativo pubblico e privato, sussista una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza. 

Questo principio è stato ribadito dal Garante nelle “Linee guida per posta elettronica e Internet” del 1° marzo 2007 (punto 5.2 lett. b), doc. web n. 1387522), nonché in numerosi provvedimenti successivi, tra cui il provvedimento del 4 dicembre 2019, n. 216 (doc. web n. 9215890) e i precedenti in esso citati.

Linee guida per posta elettronica e Internet (1° marzo 2007)

Contenuti Principali:

Utilizzo della Posta Elettronica:

  • Le linee guida stabiliscono che l’uso della posta elettronica aziendale deve essere conforme alle politiche aziendali e alle normative sulla privacy.
  • Gli utenti devono essere informati delle modalità di monitoraggio delle email.

Navigazione in Internet:

  • L’accesso a Internet deve essere regolamentato per evitare abusi e garantire la sicurezza delle informazioni.
  • Le linee guida suggeriscono l’uso di strumenti di filtraggio per limitare l’accesso a siti non pertinenti all’attività lavorativa.

Monitoraggio e Controllo:

  • Il monitoraggio delle attività online deve essere proporzionato e rispettare la privacy dei dipendenti.
  • Le aziende devono adottare misure trasparenti e informare i dipendenti sulle modalità e finalità del monitoraggio.

Sicurezza dei Dati:

  • È essenziale implementare misure di sicurezza adeguate per proteggere i dati personali trattati attraverso email e Internet.
  • Le linee guida raccomandano l’uso di crittografia e altre tecniche di sicurezza.

Provvedimento del 4 dicembre 2019, n. 216

Contenuti Principali:

Trattamento dei Dati Personali:

  • Il provvedimento ribadisce l’importanza di trattare i dati personali in conformità con il GDPR e le normative nazionali.
  • Viene sottolineata la necessità di ottenere il consenso esplicito degli interessati per il trattamento dei loro dati.

Metadati di Posta Elettronica:

  • Il Garante ha evidenziato i rischi associati alla raccolta e conservazione dei metadati delle email.
  • Sono state introdotte prescrizioni specifiche per limitare la raccolta di metadati e garantire la loro protezione.

Informazione e Trasparenza:

  • Le aziende devono fornire informazioni chiare e trasparenti agli utenti riguardo al trattamento dei loro dati.
  • Devono essere specificate le finalità del trattamento e i diritti degli interessati.

Misure di Sicurezza:

  • Il provvedimento impone l’adozione di misure di sicurezza tecniche e organizzative per proteggere i dati personali.
  • Viene raccomandata la revisione periodica delle politiche di sicurezza per adattarle alle nuove minacce.

Riassunto per Punti

Linee guida per posta elettronica e Internet (1° marzo 2007):

  • Uso conforme della posta elettronica aziendale.
  • Regolamentazione dell’accesso a Internet.
  • Monitoraggio proporzionato e trasparente.
  • Misure di sicurezza per proteggere i dati.

Provvedimento del 4 dicembre 2019, n. 216:

  • Conformità con GDPR e normative nazionali.
  • Limitazione e protezione dei metadati delle email.
  • Trasparenza e informazione agli utenti.
  • Adozione di misure di sicurezza tecniche e organizzative.

Misure di Sicurezza
Le misure di sicurezza richieste includono l’adozione di tecnologie di crittografia per proteggere i dati personali durante il trasferimento e la conservazione.

È necessario implementare sistemi di autenticazione robusti per controllare l’accesso ai dati e garantire che solo il personale autorizzato possa accedere alle informazioni sensibili.

Le aziende devono anche effettuare regolari valutazioni del rischio e audit di sicurezza per identificare e mitigare potenziali vulnerabilità. Viene raccomandato l’uso di firewall e software antivirus aggiornati per proteggere i sistemi da attacchi esterni. Inoltre, è importante predisporre piani di risposta agli incidenti per gestire eventuali violazioni dei dati in modo tempestivo ed efficace.

Prescrizioni del Garante
Il Garante per la protezione dei dati personali ha stabilito che le aziende devono informare chiaramente gli utenti sulle modalità e finalità del trattamento dei loro dati personali, inclusi i metadati delle email.

È obbligatorio ottenere il consenso esplicito degli interessati prima di trattare i loro dati.

Le organizzazioni devono adottare politiche trasparenti e fornire informazioni dettagliate sugli strumenti di monitoraggio utilizzati.

Il Garante ha anche imposto la limitazione della raccolta dei metadati e ne ha regolamentato la conservazione, specificando che devono essere conservati solo per il tempo strettamente necessario alle finalità dichiarate.

Le aziende devono garantire che i dati personali siano trattati in modo lecito, corretto e trasparente, rispettando i diritti degli interessati.

Obblighi Imposti dalla Normativa


La normativa impone alle aziende l’obbligo di conformarsi al GDPR, che include la protezione dei dati personali e la tutela dei diritti degli interessati. Le organizzazioni devono designare un Responsabile della Protezione dei Dati (DPO) se il trattamento dei dati è su larga scala o coinvolge categorie particolari di dati.

È obbligatorio effettuare una valutazione d’impatto sulla protezione dei dati (DPIA) per identificare e mitigare i rischi associati al trattamento dei dati personali. Le aziende devono garantire la portabilità dei dati, permettendo agli interessati di trasferire i loro dati a un altro fornitore di servizi.

È necessario rispettare il principio di minimizzazione dei dati, raccogliendo solo i dati strettamente necessari per le finalità dichiarate.

Le organizzazioni sono tenute a notificare eventuali violazioni dei dati all’autorità di controllo entro 72 ore dalla scoperta e informare gli interessati senza ingiustificato ritardo se la violazione comporta un rischio elevato per i loro diritti e libertà.

La tutela della segretezza della corrispondenza elettronica nel contesto lavorativo è quindi un diritto fondamentale dei lavoratori, che deve essere rispettato dai datori di lavoro nella gestione dei sistemi di posta elettronica aziendale. 

Qualsiasi forma di controllo o monitoraggio delle comunicazioni email dei dipendenti deve essere effettuata nel rispetto di tali garanzie e dei principi di protezione dei dati personali sanciti dal GDPR, come la limitazione delle finalità, la minimizzazione dei dati e la trasparenza nei confronti degli interessati.

Liceità trattamento metadati email dipendenti

studiolegalesilva.it

L’impiego di programmi e servizi informatici per la gestione della posta elettronica nel contesto lavorativo dà luogo a “trattamenti” di dati personali riferiti a “interessati” identificati o identificabili, come definiti dall’art. 4, par. 1, nn. 1) e 2) del GDPR. 

Pertanto, il datore di lavoro, in qualità di titolare del trattamento, è tenuto a verificare la sussistenza di un idoneo presupposto di liceità, ai sensi degli artt. 5, par. 1, lett. a), e 6 del GDPR, prima di effettuare trattamenti di dati personali dei lavoratori attraverso tali strumenti.

Inoltre, il datore di lavoro deve rispettare le condizioni per il lecito impiego di strumenti tecnologici nel contesto lavorativo, come stabilito dall’art. 88, par. 2, del GDPR. 

In particolare, è necessario verificare sempre la sussistenza dei presupposti di liceità previsti dall’art. 4 dello Statuto dei Lavoratori (Legge 300/1970), richiamato dall’art. 114 del Codice Privacy, nonché il rispetto delle disposizioni che vietano al datore di acquisire e trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o afferenti alla sua sfera privata (art. 8 Statuto dei Lavoratori e art. 10 D.Lgs. 276/2003, richiamato dall’art. 113 del Codice Privacy).

Gli artt. 113 e 114 del Codice Privacy sono considerati, nell’ordinamento italiano, disposizioni più specifiche e di maggiore garanzia rispetto all’art. 88 del GDPR. 

La loro osservanza costituisce una condizione di liceità del trattamento e la loro violazione comporta, oltre all’applicazione di sanzioni amministrative pecuniarie ai sensi dell’art. 83, par. 5, lett. d) del GDPR, anche il possibile insorgere di responsabilità penali (art. 171 del Codice Privacy).

Obblighi Titolare Trattamento Metadati Email

bluefoxstudio.it

Il titolare del trattamento dei dati personali, oltre a rispettare i presupposti di liceità, è tenuto a osservare i principi generali del trattamento sanciti dagli artt. 5, 24 e 25 del GDPR, nonché a porre in essere tutti gli adempimenti previsti dalle disposizioni normative in materia di protezione dei dati personali, come stabilito dagli artt. 12, 13, 14, 30, 32 e 35 del Regolamento.

In particolare, il titolare deve fornire agli interessati, in modo corretto e trasparente, una chiara rappresentazione del complessivo trattamento effettuato, consentendo loro di disporre di tutti gli elementi informativi essenziali previsti dal GDPR e di essere pienamente consapevoli, prima dell’inizio del trattamento, delle caratteristiche dello stesso. 

Ciò è stato ribadito anche dalla Corte Europea dei Diritti dell’Uomo nella sentenza del 5 settembre 2017 (Ricorso n. 61496/08 – Causa Barbulescu c. Romania, spec. par. n. 133 e 140).

Non ho trovato il contenuto specifico della sentenza della Corte Europea dei Diritti dell’Uomo del 5 settembre 2017 nei memo. Tuttavia, posso fornirti una parafrasi basata su informazioni generali.

La sentenza ha sottolineato l’importanza del rispetto della vita privata e familiare, stabilendo che qualsiasi interferenza da parte dello Stato deve essere giustificata e proporzionata.

Inoltre, la Corte ha evidenziato che le misure di sorveglianza e monitoraggio devono essere accompagnate da adeguate salvaguardie per prevenire abusi e garantire che i diritti degli individui siano protetti.

La decisione ha riaffermato che le autorità devono fornire trasparenza e motivazioni chiare per le loro azioni, assicurando che ogni misura intrapresa sia conforme ai principi della Convenzione Europea dei Diritti dell’Uomo.

Inoltre, in attuazione del principio di “responsabilizzazione” (art. 5, par. 2, e 24 del GDPR), spetta al titolare valutare se i trattamenti che intende realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalità perseguite. 

In tal caso, è necessaria una preventiva valutazione d’impatto sulla protezione dei dati personali (DPIA), come previsto dai considerando 90 e dagli artt. 35 e 36 del GDPR.

Le linee guida concernenti la valutazione di impatto sulla protezione dei dati” del Gruppo di lavoro art. 29 (WP 248 del 4 aprile 2017)

Non ho trovato ulteriori dettagli specifici sulle “Linee guida concernenti la valutazione di impatto sulla protezione dei dati” del Gruppo di lavoro art. 29 (WP 248 del 4 aprile 2017) nei memo. Tuttavia, posso continuare la parafrasi basata su informazioni generali.

Parafrasi delle Linee Guida sulla Valutazione di Impatto sulla Protezione dei Dati (DPIA)

Le linee guida del Gruppo di lavoro art. 29 (WP 248 del 4 aprile 2017) forniscono una struttura chiara per le organizzazioni su come condurre una Valutazione di Impatto sulla Protezione dei Dati (DPIA).

Queste linee guida sono essenziali per garantire che le attività di trattamento dei dati siano conformi al Regolamento Generale sulla Protezione dei Dati (GDPR).

Processo di DPIA
Il processo di DPIA deve essere sistematico e comprensivo, includendo i seguenti passaggi:

  1. Descrizione del Trattamento dei Dati: Fornire una descrizione dettagliata delle operazioni di trattamento, le finalità e i legittimi interessi perseguiti dal titolare del trattamento.
  2. Valutazione della Necessità e Proporzionalità: Analizzare se il trattamento è necessario e proporzionato rispetto alle finalità dichiarate.
  3. Valutazione dei Rischi: Identificare e valutare i rischi per i diritti e le libertà degli interessati, considerando la natura, l’ambito, il contesto e le finalità del trattamento.
  4. Misure di Mitigazione: Proporre misure tecniche e organizzative per mitigare i rischi identificati, come la pseudonimizzazione, la minimizzazione dei dati e la sicurezza dei dati.

Coinvolgimento degli Stakeholder


Le linee guida raccomandano di coinvolgere diverse parti interessate nel processo di DPIA, inclusi il Responsabile della Protezione dei Dati (DPO), i responsabili del trattamento e, se necessario, gli interessati stessi.

Questo approccio collaborativo aiuta a identificare e affrontare potenziali problemi di privacy in modo più efficace.

Documentazione e Trasparenza


È fondamentale documentare ogni fase della DPIA e mantenere un registro delle valutazioni effettuate. Le organizzazioni devono essere trasparenti riguardo ai risultati della DPIA e alle misure adottate per mitigare i rischi, informando gli interessati sulle modalità di trattamento dei loro dati personali.

Revisione e Aggiornamento


La DPIA non è un’attività una tantum ma deve essere rivista e aggiornata regolarmente, specialmente quando ci sono cambiamenti significativi nelle operazioni di trattamento o nei rischi associati.

Le organizzazioni devono stabilire un processo continuo di monitoraggio e revisione delle DPIA per garantire che rimangano pertinenti e efficaci.

Consultazione con l’Autorità di Controllo


Se una DPIA indica che il trattamento presenta un rischio elevato che non può essere mitigato adeguatamente, il titolare del trattamento deve consultare l’autorità di controllo competente prima di procedere con il trattamento. Questo passo è cruciale per garantire che le misure di protezione dei dati siano sufficienti e conformi alle normative vigenti.

Queste linee guida forniscono un quadro essenziale per le organizzazioni per garantire che le loro attività di trattamento dei dati siano conformi al GDPR e che i diritti e le libertà degli individui siano adeguatamente protetti.

la necessità di una DPIA ricorre soprattutto in caso di raccolta e memorizzazione dei log della posta elettronica, data la particolare “vulnerabilità” degli interessati nel contesto lavorativo e il rischio di “monitoraggio sistematico”, inteso come trattamento utilizzato per osservare, monitorare o controllare gli interessati, inclusi i dati raccolti tramite reti (cfr. cons. 75 e artt. 35 e 88, par. 2, del GDPR; provv. Garante 11 ottobre 2018, n. 467, doc. web n. 9058979, all. n. 1; provv. 13 maggio 2021, n. 190, doc. web n. 9669974, par. 3.5).

Provvedimento del Garante del 11 ottobre 2018, n. 467 (doc. web n. 9058979)

Questo provvedimento del Garante per la protezione dei dati personali affronta la questione della raccolta e memorizzazione dei log della posta elettronica nel contesto lavorativo. Il Garante sottolinea la necessità di effettuare una Valutazione di Impatto sulla Protezione dei Dati (DPIA) in questi casi, data la particolare vulnerabilità degli interessati e il rischio di monitoraggio sistematico. Il trattamento dei dati derivanti dai log delle email deve essere giustificato da esigenze specifiche e deve rispettare i principi di necessità e proporzionalità. Inoltre, il Garante richiede che tali trattamenti siano trasparenti e che gli interessati siano adeguatamente informati sulle modalità e finalità del trattamento dei loro dati.

Provvedimento del Garante del 13 maggio 2021, n. 190 (doc. web n. 9669974)

In questo provvedimento, il Garante per la protezione dei dati personali ribadisce l’importanza della DPIA nei casi di trattamenti di dati personali che comportano rischi elevati per i diritti e le libertà degli interessati. Il provvedimento specifica che il monitoraggio sistematico dei dipendenti attraverso la raccolta di log delle email deve essere attentamente valutato e giustificato. Il Garante sottolinea che tali attività di monitoraggio possono essere considerate invasive e devono essere condotte con la massima trasparenza e nel rispetto delle normative vigenti. Le aziende devono adottare misure tecniche e organizzative adeguate per proteggere i dati personali e garantire che i trattamenti siano conformi al GDPR.

Entrambi i provvedimenti del Garante per la protezione dei dati personali evidenziano la necessità di effettuare una DPIA quando si tratta di raccogliere e memorizzare i log delle email nel contesto lavorativo.

Questo è dovuto alla vulnerabilità degli interessati e al rischio di monitoraggio sistematico. I trattamenti devono essere giustificati, proporzionati e trasparenti, con adeguate misure di protezione dei dati personali. Le aziende devono informare chiaramente gli interessati sulle modalità e finalità del trattamento dei loro dati e adottare tutte le precauzioni necessarie per garantire la conformità alle normative sulla protezione dei dati.

Controlli a Distanza: Garanzie Legali

it.linkedin.com

L’art. 4, comma 1, dello Statuto dei Lavoratori (Legge 300/1970), come modificato dal D.Lgs. 151/2015, individua tassativamente le finalità per le quali possono essere impiegati nel contesto lavorativo strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori. 

Tali finalità sono quelle organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale. 

L’impiego di questi strumenti è subordinato a precise garanzie procedurali, ovvero l’accordo sindacale o l’autorizzazione pubblica.

Tuttavia, le predette garanzie non trovano applicazione per gli “strumenti di registrazione degli accessi e delle presenze” e per gli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”, come previsto dall’art. 4, comma 2, dello Statuto dei Lavoratori. 

Tale disposizione introduce un’eccezione rispetto al più restrittivo regime del comma 1 e deve essere interpretata in modo stretto, considerate le responsabilità anche penali derivanti dalla violazione di questo quadro normativo.

Per espressa scelta del legislatore, solo gli strumenti preordinati, anche per le loro caratteristiche tecniche di configurazione, alla “registrazione degli accessi e delle presenze” e allo “svolgimento della prestazione” non sono soggetti ai limiti e alle garanzie del comma 1, in quanto funzionali a consentire l’assolvimento degli obblighi contrattuali di presenza in servizio ed esecuzione della prestazione lavorativa.

Alla luce di queste disposizioni, affinché sia applicabile l’art. 4, comma 2, dello Statuto dei Lavoratori, si ritiene che la raccolta e conservazione dei soli metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema di posta elettronica, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione, possa essere effettuata, di norma, per un periodo limitato a pochi giorni, orientativamente non oltre i 21 giorni.

Sempre per la finalità di assicurare il funzionamento delle infrastrutture email, a cui si applica l’art. 4, comma 2, l’eventuale conservazione per un termine più ampio potrà avvenire solo in presenza di particolari condizioni che la rendano necessaria, comprovando adeguatamente, in base al principio di accountability (art. 5, par. 2, GDPR), le specificità tecniche e organizzative del titolare. 

Spetta comunque al titolare adottare misure per assicurare il rispetto del principio di limitazione della finalità, l’accesso selettivo da parte dei soli soggetti autorizzati e istruiti e la tracciatura degli accessi effettuati.

Diversamente, la raccolta e conservazione generalizzata dei log di posta elettronica per un periodo più esteso, potendo comportare un controllo indiretto a distanza dell’attività dei lavoratori, richiede le garanzie previste dall’art. 4, comma 1, dello Statuto dei Lavoratori (provv. Garante 1° dicembre 2022, n. 409). 

Resta fermo che anche tale conservazione dovrà rispettare il principio di limitazione della conservazione.

Trasparenza Trattamento Metadati Email Dipendenti

rplt.it

Il Garante per la protezione dei dati personali richiama tutti i titolari del trattamento a verificare che la raccolta e la conservazione dei log delle email aziendali avvengano nel rispetto dei principi di correttezza e trasparenza nei confronti dei lavoratori, come previsto dagli artt. 5, par. 1, lett. a), 12, 13 e 14 del GDPR.

In particolare, è fondamentale che i lavoratori siano adeguatamente informati sul trattamento dei dati personali relativi alle comunicazioni elettroniche che li riguardano. 

A tal fine, gli interessati devono essere resi pienamente consapevoli delle complessive caratteristiche del trattamento, specificando nel dettaglio aspetti quali i tempi di conservazione dei dati e gli eventuali controlli effettuati.

Fornire un’informativa chiara e completa sul trattamento dei metadati delle email è essenziale per garantire la trasparenza nei confronti dei dipendenti e consentire loro di esercitare consapevolmente i propri diritti in materia di protezione dei dati personali. 

Solo attraverso un’adeguata informazione i lavoratori possono comprendere appieno le finalità e le modalità del trattamento, nonché le misure di sicurezza adottate per tutelare la riservatezza delle loro comunicazioni elettroniche.

Il rispetto dei principi di correttezza e trasparenza è quindi un requisito imprescindibile per assicurare la liceità del trattamento dei log delle email aziendali e per instaurare un rapporto di fiducia tra datore di lavoro e dipendenti riguardo alla gestione dei dati personali nel contesto lavorativo.

Liceità trattamento metadati email dipendenti

lavorosi.it

Con riferimento alla liceità del trattamento dei metadati delle email dei dipendenti, si precisa che il ricorso a sistemi di gestione e conservazione dei log delle comunicazioni elettroniche può rientrare nell’eccezione di cui al comma 2 dell’art. 4 dello Statuto dei Lavoratori (Legge 300/1970) nei casi, alle condizioni e per le finalità già richiamate nel precedente paragrafo 3.

Tuttavia, altri profili di illiceità possono derivare dall’utilizzo ulteriore dei dati personali raccolti in assenza delle garanzie previste.

Infatti, l’art. 4, comma 3, dello Statuto dei Lavoratori consente di utilizzare, per le finalità connesse alla gestione del rapporto di lavoro, solo le informazioni già lecitamente raccolte nel rispetto delle condizioni e dei limiti previsti dai commi 1 e 2, dunque nei limiti in cui l’originaria raccolta sia stata effettuata lecitamente e fornendo un’adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli, come disposto dalla normativa sulla protezione dei dati personali (provv. Garante 28 ottobre 2021, n. 384 e 13 maggio 2021, n. 190).

Inoltre, dagli elementi ricavabili dai dati esteriori della corrispondenza, come l’oggetto, il mittente, il destinatario e altre informazioni che accompagnano i dati in transito, definendone profili temporali (data e ora di invio/ricezione), nonché dagli aspetti quali-quantitativi riguardo ai destinatari e alla frequenza di contatto (dati suscettibili di aggregazione, elaborazione e controllo), è possibile acquisire informazioni riferite alla sfera personale o alle opinioni dell’interessato.

A tal proposito, si ricorda che fin dal 1970 al datore di lavoro pubblico e privato è fatto divieto di “effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore” (art. 8 Statuto dei Lavoratori e art. 10 D.Lgs. 276/2003, richiamati dall’art. 113 del Codice Privacy).

Pertanto, la raccolta e conservazione generalizzata dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti, per un periodo di tempo esteso e in assenza di idonei presupposti giuridici, può comportare la possibilità per il datore di lavoro di acquisire informazioni riferite alla sfera personale o alle opinioni dell’interessato, non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore.

Privacy by Design e Accountability

mefop.it

Il datore di lavoro, in qualità di titolare del trattamento, deve adottare misure volte ad assicurare il rispetto dei principi della protezione dei dati fin dalla progettazione del trattamento (privacy by design) e per impostazione predefinita (privacy by default), come previsto dall’art. 25 del GDPR, durante l’intero ciclo di vita dei dati. 

Ciò significa incorporare nel trattamento le misure e le garanzie adeguate ad assicurare l’efficacia dei principi di protezione dei dati, dei diritti e delle libertà degli interessati, e fare in modo che venga effettuato per impostazione predefinita solo il trattamento strettamente necessario per conseguire la specifica e lecita finalità, anche con riguardo al periodo di conservazione dei dati.

Queste misure devono essere adottate in tutte le fasi della progettazione delle attività di trattamento, compresi gli appalti, le gare di appalto, l’esternalizzazione, lo sviluppo, il supporto, la manutenzione, il collaudo, la conservazione, la cancellazione ecc., come indicato dalle “Linee guida 4/2019 sull’articolo 25 – Protezione dei dati fin dalla progettazione e per impostazione predefinita” adottate dal Comitato europeo per la protezione dei dati il 20 ottobre 2020.

Inoltre, sul titolare del trattamento, in quanto soggetto sul quale ricadono le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati, grava una “responsabilità generale” sui trattamenti posti in essere (cons. 74 del GDPR; provv. Garante 10 febbraio 2022, n. 43; “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR” adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021).

I trattamenti in questione possono quindi comportare anche la violazione del principio di “responsabilizzazione” (accountability) sancito dagli artt. 5, par. 1, e 24 del GDPR, in base al quale il titolare è tenuto a rispettare i principi di protezione dei dati e deve essere in grado di comprovarlo, anche con riguardo alle adeguate misure tecniche e organizzative messe in atto per garantire il rispetto della disciplina in materia di protezione dei dati e di quella di settore eventualmente applicabile.

Come recentemente evidenziato dal Garante, il titolare del trattamento, anche quando utilizza prodotti o servizi realizzati da terzi, deve verificare, eventualmente avvalendosi del supporto del DPO ove designato, la conformità ai principi applicabili al trattamento dei dati (art. 5 GDPR) adottando, nel rispetto del principio di responsabilizzazione, le opportune misure tecniche e organizzative e impartendo le necessarie istruzioni al fornitore del servizio.Il titolare deve quindi accertare che siano disattivate le funzioni non compatibili con le proprie finalità del trattamento o in contrasto con specifiche norme di settore, ad esempio commisurando adeguatamente i tempi di conservazione dei dati o chiedendo al fornitore di anonimizzare i metadati raccolti nei casi in cui non si intenda effettuare una conservazione più prolungata degli stessi.

Conservazione Proporzionata Metadati Email

actainfo.it

Il principio di limitazione della conservazione, sancito dall’art. 5, par. 1, lett. e) del GDPR, stabilisce che i tempi di conservazione dei metadati delle email dei dipendenti devono essere proporzionati rispetto alle legittime finalità perseguite dal titolare del trattamento.

In particolare, quando la conservazione dei metadati è effettuata per finalità connesse alla sicurezza informatica e alla tutela del patrimonio informatico aziendale, essa è giustificata per un arco temporale congruo rispetto all’obiettivo di rilevare e mitigare eventuali incidenti di sicurezza, adottando tempestivamente le opportune contromisure.

Tuttavia, ove i tempi di conservazione non siano definiti in maniera proporzionata alle finalità del trattamento, il titolare può incorrere nella violazione del principio di limitazione della conservazione. 

Ciò significa che i metadati non possono essere conservati per un periodo più lungo del necessario rispetto agli scopi per i quali sono stati raccolti e trattati.

È quindi fondamentale che il titolare del trattamento effettui un’attenta valutazione delle esigenze di conservazione dei metadati, bilanciando la necessità di perseguire le finalità legittime con il rispetto dei diritti e delle libertà fondamentali dei lavoratori. 

Solo attraverso una definizione proporzionata e giustificata dei tempi di conservazione è possibile garantire la conformità al principio di limitazione della conservazione e prevenire trattamenti illeciti o eccessivi dei dati personali dei dipendenti.

Misure Conformità Trattamento Metadati Email

e-cons.it

Alla luce delle considerazioni esposte nel presente documento di indirizzo e al fine di prevenire trattamenti di dati personali non conformi al quadro normativo richiamato, con conseguenti responsabilità sul piano sia amministrativo che penale, i datori di lavoro pubblici e privati sono tenuti ad adottare le misure necessarie per conformare i propri trattamenti alla disciplina di protezione dei dati e a quella di settore in materia di controlli a distanza.

In particolare, spetta al titolare del trattamento verificare che i programmi e i servizi informatici di gestione della posta elettronica utilizzati dai dipendenti, specialmente nel caso di prodotti di mercato forniti in modalità cloud o as-a-service, consentano al cliente (datore di lavoro) di rispettare la disciplina di protezione dei dati nei termini indicati nel presente documento, anche con riguardo al periodo di conservazione dei metadati secondo quanto indicato al paragrafo

Ciò significa che il datore di lavoro deve accertarsi che le soluzioni adottate per la gestione delle email aziendali siano configurate in modo da garantire il rispetto dei principi di protezione dei dati, come la limitazione delle finalità, la minimizzazione dei dati, la limitazione della conservazione e la protezione fin dalla progettazione e per impostazione predefinita. 

Ove necessario, il titolare dovrà richiedere ai fornitori di disattivare funzionalità non compatibili con le finalità del trattamento o in contrasto con specifiche norme di settore.Inoltre, il Garante precisa che le indicazioni fornite nel presente documento di indirizzo devono considerarsi valide anche nel caso in cui, in ambito pubblico, i programmi e i servizi informatici in questione siano acquistati mediante le convenzioni o piattaforme che le pubbliche amministrazioni devono o possono utilizzare per l’acquisto di beni e servizi.

È quindi fondamentale che i datori di lavoro, sia nel settore privato che in quello pubblico, adottino un approccio proattivo e responsabile nella gestione dei sistemi di posta elettronica aziendale, al fine di assicurare la conformità alla normativa in materia di protezione dei dati personali e prevenire trattamenti illeciti o eccessivi dei dati dei dipendenti.

Privacy by Design: Obblighi dei Fornitori

cybersecurity360.it

Il Regolamento generale sulla protezione dei dati (GDPR) prevede che, già in fase di progettazione, sviluppo, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali, i produttori dei servizi e delle applicazioni debbano tenere conto del diritto alla protezione dei dati conformemente allo stato dell’arte.

Ciò significa che anche i fornitori di servizi di posta elettronica hanno un ruolo importante nel contribuire a far sì che i titolari del trattamento, ovvero i datori di lavoro che utilizzano tali servizi, possano adempiere ai loro obblighi di protezione dei dati. 

I fornitori devono quindi contemperare le esigenze di commercializzazione su larga scala dei propri prodotti con la conformità degli stessi ai principi del GDPR.

In particolare, i fornitori di servizi email dovrebbero progettare e sviluppare le loro soluzioni tenendo conto dei principi di protezione dei dati fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default), in modo da offrire ai titolari del trattamento funzionalità e impostazioni che consentano di rispettare i diritti degli interessati e di trattare i dati personali in modo lecito, corretto e trasparente.

Inoltre, i fornitori dovrebbero impegnarsi a migliorare costantemente i propri prodotti e servizi, anche nella prospettiva di una maggiore conformità al GDPR, come indicato dal considerando 78 del Regolamento. 

Ciò può includere l’implementazione di misure tecniche e organizzative volte a minimizzare il trattamento dei dati personali, a garantire la sicurezza dei dati trattati e a consentire ai titolari di adempiere agli obblighi di informativa, consenso e esercizio dei diritti degli interessati.

Solo attraverso una stretta collaborazione tra fornitori di servizi e titolari del trattamento è possibile assicurare un elevato livello di protezione dei dati personali dei dipendenti nell’ambito dell’utilizzo dei sistemi di posta elettronica aziendale, nel rispetto dei principi e delle disposizioni del GDPR.

Ruolo del DPO nella Gestione dei Metadati

cybersecurity360.it

Il Data Protection Officer (DPO) svolge un ruolo cruciale nel garantire la conformità del trattamento dei metadati delle email dei dipendenti alla normativa sulla protezione dei dati personali. In particolare, il DPO deve:

  • Fornire consulenza e supporto al titolare del trattamento (datore di lavoro) riguardo alla liceità, correttezza e trasparenza del trattamento dei metadati, verificando il rispetto dei principi sanciti dal GDPR, come la limitazione delle finalità, la minimizzazione dei dati e la limitazione della conservazione.
  • Collaborare con il titolare nella valutazione d’impatto sulla protezione dei dati (DPIA) ove necessaria, ad esempio in caso di raccolta e conservazione sistematica dei log delle email per finalità di monitoraggio o controllo dei dipendenti, data la particolare vulnerabilità degli interessati nel contesto lavorativo.
  • Verificare che il titolare adotti misure tecniche e organizzative adeguate per garantire la protezione dei dati fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default), anche nella selezione e configurazione dei servizi di posta elettronica forniti da terze parti.
  • Monitorare il rispetto delle disposizioni del GDPR e delle norme di settore applicabili, come l’art. 4 dello Statuto dei Lavoratori in materia di controlli a distanza, segnalando eventuali criticità o non conformità al titolare.
  • Fungere da punto di contatto per gli interessati (dipendenti) riguardo a questioni connesse al trattamento dei loro dati personali, compresi i metadati delle email, e all’esercizio dei loro diritti ai sensi del GDPR.
  • Cooperare con l’autorità di controllo (Garante per la protezione dei dati personali) e fungere da punto di contatto per questioni connesse al trattamento dei metadati delle email dei dipendenti.

In sintesi, il DPO deve affiancare e supportare il titolare del trattamento nell’adozione di un approccio responsabile e conforme alla gestione dei metadati delle email aziendali, contribuendo a prevenire trattamenti illeciti o eccessivi e a tutelare i diritti e le libertà fondamentali dei lavoratori.

Sintesi conclusiva

Il Garante per la protezione dei dati personali, con una decisione del 6 giugno (diffusa ieri), ha rielaborato significativamente le direttive pubblicate il 6 febbraio sui tempi di conservazione dei metadati delle email, che avevano sollevato preoccupazioni tra le aziende. Il nuovo documento sembra trovare un equilibrio più gestibile a livello aziendale rispetto alla versione precedente.

La principale novità introdotta dalle nuove linee guida del Garante riguarda la definizione di metadati. Ora, questa definizione comprende le informazioni registrate nei log generati dai sistemi server che gestiscono e distribuiscono la posta elettronica. Questi metadati includono dettagli sulle operazioni di invio, ricezione e smistamento dei messaggi, come gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client, gli orari di invio, ritrasmissione o ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in alcuni casi, anche l’oggetto del messaggio inviato o ricevuto.

Questa nuova definizione, molto più dettagliata rispetto alla precedente, è accompagnata da un chiarimento fondamentale: i metadati a cui si riferisce il documento sono quelli registrati automaticamente dai sistemi di posta elettronica. Questi non devono essere confusi con le informazioni contenute nei messaggi stessi, nel corpo delle email, né con le informazioni integrate nei messaggi che costituiscono il cosiddetto “envelope”, ossia l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici.

Un chiarimento importante, che sembra risolvere le preoccupazioni sorte nei mesi scorsi riguardo le difficoltà di indicizzazione e ricerca delle vecchie email a causa dei ridotti tempi di conservazione dei metadati. Queste difficoltà sembrano essere superate grazie alla nuova definizione adottata.

Dopo aver chiarito in modo preciso il perimetro applicativo delle linee guida, il Garante stabilisce che i metadati necessari per il funzionamento delle infrastrutture del sistema di posta elettronica possono essere raccolti e conservati, di norma, per un periodo limitato a pochi giorni; orientativamente, tale conservazione non dovrebbe superare i 21 giorni. La conservazione per un periodo più lungo può essere effettuata solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovandole adeguatamente in applicazione del principio di responsabilizzazione previsto dalla normativa vigente.