La conservazione indiscriminata e illimitata dei dati dei dipendenti (in particolare delle loro e-mail) è una violazione comune e grave del GDPR che compromette i diritti dei lavoratori da molteplici punti di vista. Ma fino a che punto può spingersi la conformità al GDPR senza ostacolare indebitamente le esigenze e gli interessi aziendali?
È questa la domanda alla base di una delle più recenti (e discusse) decisioni del Garante per la protezione dei dati personali, noto anche come Garante per la protezione dei dati personali. con Delibera del 21 dicembre 2023 (Documento Web n. 9978728)l'autorità ha improvvisamente cambiato le regole relative alla conservazione dei metadati dalle e-mail dei dipendenti, con nuove indicazioni su “Programmi e servizi informatici per la gestione della posta elettronica in un contesto aziendale“D'ora in poi potranno essere conservati solo per un massimo di sette giorni dalla loro raccolta!
Digressione: I metadati possono essere definiti come “dati sui dati”, ad esempio una classificazione o un tag che aiuta a comprendere e gestire i dati che descrive. Nel caso degli account di posta elettronica dei dipendenti, esempi di metadati includono data, ora, mittente, destinatario, oggetto e dimensione dell'email.
A chi si applica la decisione del Garante?
Il documento è rivolto a tutti i datori di lavoro (titolari del trattamento), sia pubblici che privati, che utilizzano software di gestione della posta elettronica disponibili anche in cloud (ad esempio Google Workspace o Office 365).
Perché ci preoccupiamo dei metadati?
In termini pratici e commerciali, queste informazioni svolgono un ruolo cruciale sotto molti aspetti. L'analisi dei metadati, inclusi i metadati delle email, può:
- Assistere nella prevenzione e nella sicurezza del sistema (identificando potenziali minacce alla sicurezza come tentativi di phishing);
- Migliorare il flusso di lavoro;
- In alcuni settori e paesi, le aziende potrebbero avere l’obbligo legale di conservare i metadati per un certo periodo.
Motivazioni del nuovo periodo di conservazione
Dopo approfondite indagini, il Garante ha individuato diverse situazioni in cui questi strumenti sono impostati per conservare metadati relativi all’utilizzo degli account di posta elettronica”,Ipoteticamente, preventivamente e in generale“.
Pertanto, l’Autorità chiede limitazioni al periodo di conservazione dei metadati, che possono essere trattati legalmente per garantire che l’infrastruttura del sistema di posta elettronica operi solo per un periodo considerato”Adatto allo scopo di rilevare eventuali incidenti di sicurezza e mitigarne gli effetti“. Questo periodo è ora fissato a Sette giorni più ulteriori 48 ore.
I datori di lavoro devono ora:
- Verificare che il software di gestione della posta elettronica (in particolare se si tratta di una soluzione cloud-as-a-service) rispetti il nuovo termine massimo di conservazione di sette giorni (più altre 48 ore per esigenze comprovate);
- In caso contrario, regolare di conseguenza le impostazioni di base (se consentito dal prodotto in uso).
L’obiettivo finale di questo nuovo requisito è aumentare la consapevolezza delle pratiche illegali ed eccessive di conservazione dei dati, prevalenti nei software e nelle soluzioni aziendali, costringendo i datori di lavoro a scegliere fornitori che consentano il rispetto dei requisiti di protezione dei dati.
Anche se la recente decisione del Garante può sembrare un importante cambiamento di posizione riguardo al trattamento e alla conservazione dei metadati, non è senza precedenti. Vale la pena notare che l'A Decisione precedente (documento web n. 9833530) La decisione contro la Regione Lazio (1° dicembre 2022) ha affrontato i rischi connessi ad un'eccessiva conservazione dei metadati, in particolare per quanto riguarda il loro potenziale utilizzo improprio ai fini della sorveglianza dei dipendenti.
In questa precedente sentenza, il Garante aveva affermato in modo inequivocabile che la precedente pratica di conservare i metadati delle email dei dipendenti per 180 giorni era superata, ed era invece favorevole ad un nuovo periodo di conservazione di sette giorni. Il periodo di archiviazione di 180 giorni ha comportato un accumulo sistematico di metadati associati alle e-mail dei dipendenti, insieme alla capacità tecnica di estrarli, analizzarli e controllarli. Questa modifica ha lo scopo di impedire ai datori di lavoro di estrapolare informazioni riguardanti le attività dei dipendenti dai numerosi metadati raccolti. Tali pratiche hanno consentito ai datori di lavoro di estrarre informazioni importanti sui comportamenti dei dipendenti senza accedere direttamente alla loro casella di posta, una pratica considerata problematica dal punto di vista della protezione dei dati e del diritto del lavoro.
Cosa succede se voglio conservare i metadati per più di sette giorni?
Il Garante ritiene che la conservazione di tali dati per lunghi periodi comporti un evidente rischio di monitoraggio sistematico delle attività dei dipendenti.
Per questo motivo, conservare i metadati per un periodo più lungo è legittimo solo se attuato:
- realizzare “Comprovate esigenze organizzative o produttive“E per”Finalità di sicurezza informatica e tutela del patrimonio del datore di lavoro, ivi compreso il patrimonio informatico“;
- Nel rispetto delle garanzie previste dall’articolo 4 della Legge fondamentale sui lavoratori (vale a dire le stesse garanzie previste nell’adozione di strumenti che possono comportare rischi di sorveglianza e controllo sui lavoratori). Secondo la legge italiana, la permanenza superiore a sette giorni deve essere concordata con i sindacati o ottenuta l'approvazione dei comitati aziendali nazionali e locali.
Inoltre si raccomanda:
- Aggiornamento dei registri delle attività di trattamento (ROPA);
- Condurre una specifica valutazione d’impatto sulla protezione dei dati (DPIA);
- Effettuare una specifica valutazione del legittimo interesse (LIA) qualora si ritenga che la base giuridica per la conservazione prolungata sia nel legittimo interesse del titolare del trattamento (articolo 6, comma 1 lettera f del GDPR);
- Informare adeguatamente i dipendenti.
Impatti sulle aziende
È evidente che la decisione del Garante mira innanzitutto a limitare le pratiche dei “grandi” cloud provider volte a limitare la pratica diffusa della conservazione illimitata dei dati.
Tuttavia, le implicazioni si estendono ulteriormente, interessando le aziende italiane e le organizzazioni internazionali che operano in Italia. Il dilemma è chiaro: come possono le aziende conformarsi ai requisiti normativi e seguire le indicazioni delle autorità senza mettere a rischio i propri interessi e le proprie operazioni?
Per superare questa sfida, le aziende devono adottare le misure necessarie. Ciò include la rivalutazione dei loro quadri organizzativi e tecnici per quanto riguarda la conservazione dei dati. Inoltre, per garantire il rispetto di questo nuovo obbligo è necessaria una revisione globale dei fornitori di servizi.
Se i fornitori di servizi non consentono la conservazione dei metadati per un massimo di sette giorni, seguita dalla loro cancellazione dai sistemi, le aziende potrebbero dover prendere in considerazione la possibilità di rivolgersi a soluzioni alternative di gestione della posta elettronica.
Cosa fare per non farsi trovare impreparati
Affidarsi a un Data Protection Officer (DPO) o a consulenti specializzati in privacy è fondamentale in tali circostanze, soprattutto quando le decisioni relative ai metadati raccolti in Italia potrebbero avere un impatto su decisioni, configurazioni e politiche di conservazione utilizzate in diversi paesi, nel contesto di aziende internazionali.
“Sottilmente affascinante social mediaholic. Pioniere della musica. Amante di Twitter. Ninja zombie. Nerd del caffè.”
More Stories
Vino italiano, esportazioni +9,5% in valore e +8,2% in volume nel primo bimestre 2024 (nel 2023)
Il responsabile del Programma Qualità della Vita parla delle opportunità di investimento in Italia
L’azienda italiana di caffè Lavazza sta rilevando un’azienda a conduzione familiare scozzese