Garante Privacy: nuove indicazioni operative per la gestione dei metadati

Lug 25, 2024

Premessa

Con il Provvedimento 6 giugno 2024, n. 364, il Garante per la protezione dei dati personali ha adottato il nuovo documento di indirizzo sui “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, che modifica e sostituisce il precedente Provvedimento 21 dicembre 2023, n. 642, che prescriveva la cancellazione dei cc.dd. “metadati” degli account dei servizi di posta elettronica dei lavoratori dopo un periodo di conservazione di non oltre 7/9 giorni (salvo attivazione delle procedure previste dall’art. 4, co. 1 dello Statuto dei lavoratori).
 

Garante: nuove indicazioni operative

Nel nuovo Provvedimento, deliberato a seguito di una consultazione pubblica, cui Confindustria ha partecipato insieme alle altre principali Associazioni datoriali, il Garante ha rivisto le indicazioni sulla conservazione dei metadati:
  • ha fornito una definizione di metadati, precisando che le indicazioni contenute nel Provvedimento non riguardano la gestione della posta elettronica data in uso ai lavoratori, quanto, piuttosto, la gestione dei cc.dd. “log di trasporto”, vale a dire quelle informazioni raccolte automaticamente dai sistemi di posta elettronica e funzionali a garantire le operazioni di invio e recapito delle e-mail;
  • ha specificato la natura di indirizzo del Provvedimento, sottolineando che da questo non discendono prescrizioni, nuovi obblighi o responsabilità a carico del datore di lavoro, indicando, al riguardo, un termine di conservazione orientativo – di 21 giorni – superabile, senza attivare le garanzie di cui all’art. 4, co. 1 dello Statuto dei lavoratori, in presenza di comprovate esigenze tecniche e organizzative;
  • ha evidenziato che l’obiettivo del Provvedimento è di sensibilizzare e “responsabilizzare” i datori di lavoro sui trattamenti aventi a oggetto i metadati e, in particolare, sui relativi tempi di conservazione da parte dei fornitori.

Inoltre, nel ricordare che la “responsabilità generale” dei trattamenti dei metadati ricade sui datori di lavoro, in qualità di titolari del trattamento, il Garante ha invitato i fornitori dei servizi di posta elettronica a tenere conto del diritto alla protezione dei dati conformemente allo stato dell’arte e a contribuire a far sì che i datori di lavoro possano adempiere ai loro obblighi di protezione dei dati.

Nota di Confindustria

Al fine di supportare le imprese nella gestione dei metadati in modo conforme agli indirizzi del Garante, nel documento allegato, Confindustria illustra le indicazioni fornite dall’Autorità e fornisce alcune linee guida e indicazioni di carattere operativo.

In particolare, si richiama l’attenzione sulla necessità di verificare i tempi di conservazione dei metadati praticati dai fornitori, le motivazioni di carattere funzionale/tecnico dagli stessi fornite per giustificarne la conservazione per un certo periodo, nonché l’eventuale possibilità di stabilire in autonomia tempistiche di conservazione differenti e di disattivare le funzioni incompatibili con le proprie finalità del trattamento.

Inoltre, si suggerisce di:

  1. fornire ai lavoratori una informativa chiara sul trattamento dei dati personali relativi alle comunicazioni elettroniche che li riguardano;
  2. effettuare ovvero eventualmente aggiornare la valutazione di impatto sulla protezione dei dati personali, cc.dd. DPIA, documentando altresì le esigenze tecniche e organizzative che giustificano l’individuazione di un termine di conservazione dei metadati superiore ai 21 giorni e aggiornando il registro delle attività di trattamento;
  3. adottare tutte le misure tecniche e organizzative per garantire il rispetto della normativa sulla protezione dei dati personali e di quella di settore.

Per chiarimenti si prega di contattare:

Dott.ssa Enrica Masi – e.masi@confindustriatoscanacentroecosta.it – 0552707219

L’articolo è presente anche sul sito delle delegazione di Livorno e Massa Carrara: https://www.confindustrialivornomassacarrara.it/news.php?ID=37304

 

ARTICOLI CORRELATI

Fondo di garanzia PMI: nuovi contributi agli interessi

Dal 13 dicembre 2024 è possibile per le piccole e medie imprese (PMI) dell’indotto delle imprese a carattere strategico in amministrazione straordinaria richiedere un contributo agli interessi sui...

RICERCA