Il provvedimento del Garante per la protezione dei dati personali del 6 giugno 2024, riguardante i programmi e i servizi informatici di gestione della posta elettronica nel contesto lavorativo e il trattamento dei metadati, affronta diverse questioni critiche legate alla protezione dei dati personali dei lavoratori.
Il documento si focalizza principalmente sulla raccolta, conservazione e trattamento dei metadati derivanti dall’uso delle email aziendali, in particolare quando tali servizi sono offerti in modalità cloud.
Diversi sono i rischi identificati dal garante:
– Raccolta predefinita e generalizzata dei metadati: i programmi di gestione della posta elettronica, per impostazione predefinita, possono raccogliere in modo preventivo e generalizzato i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti. Questa raccolta avviene spesso senza la possibilità, per il datore di lavoro, di modificare le impostazioni di base per disabilitare la raccolta sistematica dei dati o per ridurre il periodo di conservazione degli stessi.
– Conservazione estesa dei metadati: la conservazione dei metadati per un periodo di tempo esteso può comportare rischi significativi per la privacy dei dipendenti. In assenza di idonei presupposti giuridici, la raccolta e la conservazione prolungata di questi dati possono permettere al datore di lavoro di acquisire informazioni non rilevanti per la valutazione dell’attitudine professionale del lavoratore, ma piuttosto afferenti alla sua sfera personale o alle sue opinioni.
– Limitazioni nelle impostazioni di conservazione: talvolta, i fornitori di servizi cloud impongono limitazioni ai clienti (datori di lavoro) riguardo la possibilità di modificare le impostazioni di conservazione dei metadati. Questo può impedire l’adozione di misure adeguate per la protezione dei dati personali, come la riduzione dei tempi di conservazione o l’anonimizzazione dei metadati raccolti.
– Informazioni non rilevanti: dalla raccolta dei metadati, come l’oggetto del messaggio, il mittente, il destinatario e altri dettagli tecnici, è possibile ricavare informazioni sulla sfera personale del lavoratore, che non sono necessarie per valutare la sua prestazione professionale. Questo tipo di raccolta può violare i principi fondamentali di protezione dei dati personali e la riservatezza delle comunicazioni.
– Aspetti tecnici e giuridici: la raccolta automatica dei metadati avviene indipendentemente dalla percezione e dalla volontà dell’utente. Questi dati, che includono anche quelli determinati dagli utenti come il campo “Oggetto”, non devono essere confusi con le informazioni contenute nei messaggi di posta elettronica (body-part) o nelle intestazioni tecniche (envelope), che rimangono sotto il controllo esclusivo dell’utente.
Il documento sottolinea, quindi, la necessità di rispettare i principi di correttezza, trasparenza e limitazione della conservazione, previsti dal Regolamento UE 2016/679 (GDPR). In particolare:
– Correttezza e trasparenza: i lavoratori devono essere informati chiaramente sul trattamento dei dati personali, inclusi i metadati delle email. Questo include specificare i tempi di conservazione e i possibili controlli.
– Limitazione della conservazione: i tempi di conservazione dei metadati devono essere proporzionati alle finalità legittime perseguite, come la sicurezza informatica e la tutela del patrimonio informatico. La conservazione prolungata dei dati senza giustificati motivi può violare il principio di limitazione della conservazione.
Il Garante per la protezione dei dati personali ha delineato delle precise misure tecniche e organizzative che i datori di lavoro devono adottare per garantire la conformità ai principi del GDPR nel trattamento dei metadati derivanti dall’uso della posta elettronica aziendale.
Dal punto di vista tecnico, è essenziale che i sistemi e i servizi di gestione della posta elettronica siano configurati in modo da disabilitare la raccolta automatica dei metadati non necessari. Questo implica anche la possibilità di ridurre i periodi di conservazione predefiniti e, quando possibile, richiedere l’anonimizzazione dei metadati raccolti.
Inoltre, è fondamentale che i principi di protezione dei dati siano integrati fin dalla progettazione dei sistemi informatici, garantendo che solo i dati strettamente necessari siano raccolti e trattati e che i tempi di conservazione siano proporzionati alle finalità del trattamento.
La sicurezza informatica gioca un ruolo cruciale, richiedendo l’implementazione di misure adeguate per prevenire accessi non autorizzati e proteggere i dati personali conservati, attraverso tecniche di cifratura, autenticazione forte e monitoraggio continuo.
Dal punto di vista organizzativo, i lavoratori devono essere adeguatamente informati sul trattamento dei loro dati personali, inclusi i metadati delle email, comprendendo i tempi di conservazione, le finalità del trattamento e le eventuali misure di controllo adottate. È necessario garantire che il trattamento avvenga nel rispetto dei principi di correttezza e trasparenza. Quando si utilizzano servizi forniti da terze parti, in particolare quelli basati su cloud, i datori di lavoro devono verificare la conformità dei fornitori alle normative sulla protezione dei dati, attraverso audit periodici e richieste di documentazione che dimostri l’adozione di misure di sicurezza adeguate e la conformità ai requisiti del GDPR.
La conservazione dei dati deve essere limitata al tempo strettamente necessario per raggiungere le finalità legittime, adottando politiche chiare sulla durata della conservazione e, laddove possibile, riducendo i tempi di conservazione o adottando misure per l’anonimizzazione dei dati.
In realtà il Garante, anche alla luce dell’applicabilità del comma 2 dell’art. 4 della L. n. 300/1970, ribadisce che la conservazione dei metadati deve essere limitata a pochi giorni. Il documento suggerisce che, a titolo orientativo, la conservazione non dovrebbe superare i 21 giorni. Tuttavia, il Garante prevede un’eventuale estensione del periodo di conservazione che però può essere giustificata solo in presenza di particolari condizioni che rendano necessaria una conservazione più prolungata, comprovando adeguatamente le specificità tecniche e organizzative del titolare del trattamento.
Le raccomandazioni specifiche del Garante includono la collaborazione tra i responsabili della protezione dei dati (DPO) e i fornitori di servizi cloud per assicurare l’implementazione efficace delle misure tecniche e organizzative.
I datori di lavoro devono effettuare valutazioni di impatto sulla protezione dei dati (DPIA) per identificare e mitigare i potenziali rischi per la privacy dei lavoratori quando vengono introdotti nuovi sistemi o modificati quelli esistenti.
Il provvedimento del Garante non è esente da criticità che possono influenzare la sua implementazione da parte degli enti e delle aziende. Una delle principali difficoltà riguarda la complessità tecnica e i costi di implementazione. Adeguare i sistemi di posta elettronica per disabilitare la raccolta automatica dei metadati, ridurre i periodi di conservazione e implementare misure di sicurezza avanzate richiede competenze tecniche specifiche e investimenti significativi, soprattutto per le piccole e medie imprese.
Dal punto di vista operativo, le misure di sicurezza richieste, come l’uso di tecniche di cifratura e l’autenticazione forte, potrebbero rallentare i processi aziendali e influire sulla produttività dei dipendenti. Ad esempio, l’autenticazione con metodi più sicuri potrebbe causare ritardi nell’accesso alle email e ad altri sistemi, compromettendo l’efficienza operativa.
La gestione della conservazione dei dati rappresenta un’altra sfida. Limitare i tempi di conservazione dei metadati a periodi brevi, come i 21 giorni suggeriti, potrebbe risultare problematico per aziende che necessitano di conservare questi dati per motivi di sicurezza o conformità normativa. Ciò richiede una pianificazione attenta e la possibilità di conflitti tra esigenze operative e requisiti normativi. Inoltre la collaborazione con fornitori di servizi cloud può essere difficoltosa. Le aziende devono verificare la conformità dei fornitori alle disposizioni del provvedimento attraverso audit periodici e richieste di documentazione, il che può rappresentare un onere significativo, soprattutto se i fornitori non sono collaborativi o se le aziende non hanno il potere contrattuale necessario.