Garante Privacy: come gestire la posta elettronica. Guida per aziende
Nel contesto lavorativo, l'uso di programmi e servizi per la
gestione della posta elettronica comporta inevitabilmente il
trattamento di dati personali. Il
Garante per la protezione dei dati personali ha recentemente affrontato il rischio legato alla raccolta e conservazione dei metadati generati da questi servizi, soprattutto quando forniti in modalità cloud.
Seguire le indicazioni del Garante Privacy è molto importante per
evitare sanzioni o reclami dei propri dipendenti o collaboratori.
Vediamo di cosa si tratta e come poter gestire la posta a norma di legge.
SOMMARIO
Cos'è un metadato?
Normativa sulla protezione dei dati personali
Eccezione per la gestione dell'email
Responabilità del datore di lavoro
Conclusioni
Esempio di policy aziendale
Maggiori informazioni?
I metadati sono
informazioni tecniche registrate automaticamente dai sistemi di gestione della posta elettronica (Mail Transport Agent, MTA) e dai client (Mail User Agent, MUA).
Questi dati includono, tra gli altri:
- gli indirizzi email del mittente e del destinatario,
- gli indirizzi IP dei server e dei client coinvolti,
- gli orari di invio e ricezione,
- la dimensione del messaggio e
- la presenza di allegati.
È importante notare che i metadati
non comprendono il contenuto del messaggio, che rimane sotto il controllo dell'utente.
Secondo il Garante, il
trattamento dei metadati nel contesto lavorativo deve rispettare le normative sulla protezione dei dati personali, come previsto dal
GDPR e dalle leggi italiane.
Il datore di lavoro, in qualità di titolare del trattamento, deve assicurarsi di avere un idoneo presupposto di liceità prima di effettuare qualsiasi trattamento dei dati personali dei lavoratori. Questo include rispettare le disposizioni che vietano la raccolta di informazioni non rilevanti ai fini della valutazione professionale del lavoratore.
L’articolo 4 della Legge 20 maggio 1970, n. 300 (
Statuto dei Lavoratori), come modificato dal D.Lgs. 151/2015, stabilisce le condizioni per l'uso degli strumenti che possono comportare un
controllo a distanza dei lavoratori.
Tuttavia, fa
eccezione per gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa, come i
sistemi di gestione della posta elettronica. Questi strumenti possono raccogliere e conservare i metadati per garantire il corretto funzionamento del sistema di posta elettronica e la sicurezza informatica, senza necessità di accordi sindacali o autorizzazioni pubbliche,
purché il periodo di conservazione sia limitato e proporzionato.
I datori di lavoro devono adottare misure adeguate per conformarsi alle normative sulla protezione dei dati e
garantire la trasparenza nei confronti dei lavoratori riguardo al trattamento dei loro dati personali.
Questo include:
1.
Limitazione della conservazione: I metadati devono essere conservati solo per il tempo necessario a garantire il funzionamento e la sicurezza del sistema.
2.
Trasparenza e Informazione: I lavoratori devono essere informati chiaramente su come vengono trattati i loro dati personali.
3.
Protezione dei dati personali fin dalla progettazione: I datori di lavoro devono assicurarsi che i fornitori di servizi di posta elettronica rispettino i principi di protezione dei dati fin dalla progettazione e per impostazione predefinita.
Il documento di indirizzo del Garante
non introduce nuovi obblighi, ma chiarisce come le attuali normative si applicano alla gestione dei metadati della posta elettronica nel contesto lavorativo. Le aziende devono
garantire che i loro sistemi di posta elettronica siano configurati per rispettare la privacy dei dipendenti, limitando la raccolta e la conservazione dei metadati ai soli fini di sicurezza e funzionamento del sistema.
Adottando queste misure, le aziende possono evitare violazioni delle normative sulla protezione dei dati, riducendo il rischio di sanzioni e responsabilità.
Di seguito indichiamo gli elementi principali che dovrebbe contenere una
policy aziendale per informare i dipedenti su come viene gestita la loro email e i metadati.
Introduzione
Questa policy stabilisce le linee guida della nostra azienda per la gestione dei metadati della posta elettronica dei dipendenti, in conformità con le indicazioni del Garante per la protezione dei dati personali. Il nostro obiettivo è garantire la trasparenza, la sicurezza e la protezione dei dati personali trattati attraverso i nostri sistemi di posta elettronica.
Dati Raccolti
I metadati raccolti dai nostri sistemi di posta elettronica comprendono:
- Indirizzi email del mittente e del destinatario.
- Indirizzi IP dei server e dei client coinvolti nella comunicazione.
- Orari di invio, ritrasmissione e ricezione dei messaggi.
- Dimensione dei messaggi e degli eventuali allegati.
- Oggetto del messaggio, se configurato dal sistema di gestione della posta.
Finalità della raccolta
La raccolta dei metadati è essenziale per:
- Garantire il corretto funzionamento e la manutenzione del sistema di posta elettronica.
- Assicurare la sicurezza informatica e proteggere le infrastrutture aziendali da potenziali minacce.
- Monitorare e migliorare le prestazioni del sistema.
Periodo di conservazione
I metadati della posta elettronica saranno conservati per un periodo massimo di 21 giorni. Questo periodo è considerato congruo per:
- Rilevare e mitigare eventuali incidenti di sicurezza.
- Assicurare la continuità del servizio.
In casi eccezionali, la conservazione dei dati può essere estesa solo se strettamente necessario e giustificato, in conformità con il principio di responsabilizzazione.
Misure di sicurezza
Adottiamo misure tecniche e organizzative per proteggere i metadati raccolti:
- Accesso limitato: Solo il personale autorizzato può accedere ai log dei metadati.
- Protezione dei dati: I file di log sono protetti da permessi di accesso rigorosi e sono regolarmente monitorati per prevenire accessi non autorizzati.
- Cifratura: dove possibile, i dati sono cifrati per aggiungere un ulteriore livello di sicurezza.
Diritti dei Lavoratori
I dipendenti hanno il diritto di essere informati sul trattamento dei loro dati personali e sui metadati raccolti. In particolare, i dipendenti possono:
- Richiedere informazioni: Ottenere dettagli sui tipi di dati raccolti e le finalità del trattamento.
- Esercitare i propri diritti: Chiedere la rettifica, la cancellazione o la limitazione del trattamento dei propri dati personali, conformemente al GDPR.
- Segnalare violazioni: Riportare eventuali preoccupazioni o violazioni della policy aziendale.
Trasparenza e informazione
Ci impegniamo a mantenere una comunicazione chiara e trasparente con i nostri dipendenti riguardo al trattamento dei dati personali. Tutti i lavoratori saranno informati attraverso:
- Sessioni di formazione: Corsi periodici per educare i dipendenti sulle politiche di protezione dei dati e sui loro diritti.
- Documentazione accessibile: Fornire documenti facilmente comprensibili che descrivono le modalità di trattamento dei dati.
Responsabilità del datore di lavoro
Il datore di lavoro è responsabile di:
- Implementare e mantenere le configurazioni tecniche necessarie per il rispetto delle normative.
- Condurre audit regolari per verificare la conformità delle pratiche di gestione dei metadati.
- Collaborare con i fornitori di servizi di posta elettronica per assicurare che le soluzioni adottate rispettino i principi di protezione dei dati fin dalla progettazione.
Conclusioni
Questa policy riflette il nostro impegno a proteggere i dati personali dei dipendenti e a rispettare le normative vigenti. Ogni dipendente è incoraggiato a familiarizzare con questa policy e a segnalare eventuali dubbi o problemi al proprio responsabile o al team di protezione dei dati.
Attraverso queste misure, miriamo a creare un ambiente di lavoro sicuro e conforme, proteggendo i diritti e la privacy di tutti i nostri dipendenti.
I nostri avvocati sono a disposizione per assistere la tua azienda nella redazione di una policy aziendale personalizzata in questo contesto, garantendo che le vostre pratiche siano pienamente conformi alle normative vigenti e alle linee guida del Garante per la protezione dei dati personali. Non esitate a contattarci per ulteriori informazioni e supporto.
Team LegalBlink