Consulenza legale per ecommerce con un Team di avvocati esperti in privacy e diritto digitale, dal 2011.

Riepilogo carrello

Il tuo carrello è vuoto

Prodotti nel carrello: 0
Totale prodotti: € 0,00

Prosegui al carrello

Garante Privacy: come gestire la posta elettronica. Guida per aziende

19/06/2024

Garante Privacy: come gestire la posta elettronica. Guida per aziende



Nel contesto lavorativo, l'uso di programmi e servizi per la gestione della posta elettronica comporta inevitabilmente il trattamento di dati personali. Il Garante per la protezione dei dati personali ha recentemente affrontato il rischio legato alla raccolta e conservazione dei metadati generati da questi servizi, soprattutto quando forniti in modalità cloud.

Seguire le indicazioni del Garante Privacy è molto importante per evitare sanzioni o reclami dei propri dipendenti o collaboratori.

Vediamo di cosa si tratta e come poter gestire la posta a norma di legge.



SOMMARIO


Cos'è un metadato?
Normativa sulla protezione dei dati personali
Eccezione per la gestione dell'email
Responabilità del datore di lavoro
Conclusioni
Esempio di policy aziendale
Maggiori informazioni?

 

Cos'è un metadato?



I metadati sono informazioni tecniche registrate automaticamente dai sistemi di gestione della posta elettronica (Mail Transport Agent, MTA) e dai client (Mail User Agent, MUA).

Questi dati includono, tra gli altri:

 
  • gli indirizzi email del mittente e del destinatario,
  • gli indirizzi IP dei server e dei client coinvolti,
  • gli orari di invio e ricezione,
  • la dimensione del messaggio e
  • la presenza di allegati.


È importante notare che i metadati non comprendono il contenuto del messaggio, che rimane sotto il controllo dell'utente.

 

Normativa sulla protezione dei dati



Secondo il Garante, il trattamento dei metadati nel contesto lavorativo deve rispettare le normative sulla protezione dei dati personali, come previsto dal GDPR e dalle leggi italiane.

Il datore di lavoro, in qualità di titolare del trattamento, deve assicurarsi di avere un idoneo presupposto di liceità prima di effettuare qualsiasi trattamento dei dati personali dei lavoratori. Questo include rispettare le disposizioni che vietano la raccolta di informazioni non rilevanti ai fini della valutazione professionale del lavoratore.

 
come gestire l'email a norma di legge

Eccezioni per la gestione dell'email  



L’articolo 4 della Legge 20 maggio 1970, n. 300 (Statuto dei Lavoratori), come modificato dal D.Lgs. 151/2015, stabilisce le condizioni per l'uso degli strumenti che possono comportare un controllo a distanza dei lavoratori.

Tuttavia, fa eccezione per gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa, come i sistemi di gestione della posta elettronica. Questi strumenti possono raccogliere e conservare i metadati per garantire il corretto funzionamento del sistema di posta elettronica e la sicurezza informatica, senza necessità di accordi sindacali o autorizzazioni pubbliche, purché il periodo di conservazione sia limitato e proporzionato.

 

Responsabilità del datore di lavoro 



I datori di lavoro devono adottare misure adeguate per conformarsi alle normative sulla protezione dei dati e garantire la trasparenza nei confronti dei lavoratori riguardo al trattamento dei loro dati personali.

Questo include:


1. Limitazione della conservazione: I metadati devono essere conservati solo per il tempo necessario a garantire il funzionamento e la sicurezza del sistema.
2. Trasparenza e Informazione: I lavoratori devono essere informati chiaramente su come vengono trattati i loro dati personali.
3. Protezione dei dati personali fin dalla progettazione: I datori di lavoro devono assicurarsi che i fornitori di servizi di posta elettronica rispettino i principi di protezione dei dati fin dalla progettazione e per impostazione predefinita.

 

Conclusioni sulla gestione a norma della posta elettronica



Il documento di indirizzo del Garante non introduce nuovi obblighi, ma chiarisce come le attuali normative si applicano alla gestione dei metadati della posta elettronica nel contesto lavorativo. Le aziende devono garantire che i loro sistemi di posta elettronica siano configurati per rispettare la privacy dei dipendenti, limitando la raccolta e la conservazione dei metadati ai soli fini di sicurezza e funzionamento del sistema.

Adottando queste misure, le aziende possono evitare violazioni delle normative sulla protezione dei dati, riducendo il rischio di sanzioni e responsabilità.

 

Policy aziendale sulla gestione della email 



Di seguito indichiamo gli elementi principali che dovrebbe contenere una policy aziendale per informare i dipedenti su come viene gestita la loro email e i metadati.

Introduzione

Questa policy stabilisce le linee guida della nostra azienda per la gestione dei metadati della posta elettronica dei dipendenti, in conformità con le indicazioni del Garante per la protezione dei dati personali. Il nostro obiettivo è garantire la trasparenza, la sicurezza e la protezione dei dati personali trattati attraverso i nostri sistemi di posta elettronica.

Dati Raccolti

I metadati raccolti dai nostri sistemi di posta elettronica comprendono:

- Indirizzi email del mittente e del destinatario.
- Indirizzi IP dei server e dei client coinvolti nella comunicazione.
- Orari di invio, ritrasmissione e ricezione dei messaggi.
- Dimensione dei messaggi e degli eventuali allegati.
- Oggetto del messaggio, se configurato dal sistema di gestione della posta.

Finalità della raccolta

La raccolta dei metadati è essenziale per:

- Garantire il corretto funzionamento e la manutenzione del sistema di posta elettronica.
- Assicurare la sicurezza informatica e proteggere le infrastrutture aziendali da potenziali minacce.
- Monitorare e migliorare le prestazioni del sistema.

Periodo di conservazione

I metadati della posta elettronica saranno conservati per un periodo massimo di 21 giorni. Questo periodo è considerato congruo per:

- Rilevare e mitigare eventuali incidenti di sicurezza.
- Assicurare la continuità del servizio.

In casi eccezionali, la conservazione dei dati può essere estesa solo se strettamente necessario e giustificato, in conformità con il principio di responsabilizzazione.

Misure di sicurezza

Adottiamo misure tecniche e organizzative per proteggere i metadati raccolti:

- Accesso limitato: Solo il personale autorizzato può accedere ai log dei metadati.
- Protezione dei dati: I file di log sono protetti da permessi di accesso rigorosi e sono regolarmente monitorati per prevenire accessi non autorizzati.
- Cifratura: dove possibile, i dati sono cifrati per aggiungere un ulteriore livello di sicurezza.

Diritti dei Lavoratori

I dipendenti hanno il diritto di essere informati sul trattamento dei loro dati personali e sui metadati raccolti. In particolare, i dipendenti possono:

- Richiedere informazioni: Ottenere dettagli sui tipi di dati raccolti e le finalità del trattamento.
- Esercitare i propri diritti: Chiedere la rettifica, la cancellazione o la limitazione del trattamento dei propri dati personali, conformemente al GDPR.
- Segnalare violazioni: Riportare eventuali preoccupazioni o violazioni della policy aziendale.

Trasparenza e informazione

Ci impegniamo a mantenere una comunicazione chiara e trasparente con i nostri dipendenti riguardo al trattamento dei dati personali. Tutti i lavoratori saranno informati attraverso:

- Sessioni di formazione: Corsi periodici per educare i dipendenti sulle politiche di protezione dei dati e sui loro diritti.
- Documentazione accessibile: Fornire documenti facilmente comprensibili che descrivono le modalità di trattamento dei dati.

Responsabilità del datore di lavoro

Il datore di lavoro è responsabile di:

- Implementare e mantenere le configurazioni tecniche necessarie per il rispetto delle normative.
- Condurre audit regolari per verificare la conformità delle pratiche di gestione dei metadati.
- Collaborare con i fornitori di servizi di posta elettronica per assicurare che le soluzioni adottate rispettino i principi di protezione dei dati fin dalla progettazione.

Conclusioni

Questa policy riflette il nostro impegno a proteggere i dati personali dei dipendenti e a rispettare le normative vigenti. Ogni dipendente è incoraggiato a familiarizzare con questa policy e a segnalare eventuali dubbi o problemi al proprio responsabile o al team di protezione dei dati.

Attraverso queste misure, miriamo a creare un ambiente di lavoro sicuro e conforme, proteggendo i diritti e la privacy di tutti i nostri dipendenti.

 
info su come gestire la posta elettronica a norma di legge

Maggiori informazioni?


I nostri avvocati sono a disposizione per assistere la tua azienda nella redazione di una policy aziendale personalizzata in questo contesto, garantendo che le vostre pratiche siano pienamente conformi alle normative vigenti e alle linee guida del Garante per la protezione dei dati personali. Non esitate a contattarci per ulteriori informazioni e supporto.

Team LegalBlink