Premessa
Garante: nuove indicazioni operative
- ha fornito una definizione di metadati, precisando che le indicazioni contenute nel Provvedimento non riguardano la gestione della posta elettronica data in uso ai lavoratori, quanto, piuttosto, la gestione dei cc.dd. “log di trasporto”, vale a dire quelle informazioni raccolte automaticamente dai sistemi di posta elettronica e funzionali a garantire le operazioni di invio e recapito delle e-mail;
- ha specificato la natura di indirizzo del Provvedimento, sottolineando che da questo non discendono prescrizioni, nuovi obblighi o responsabilità a carico del datore di lavoro, indicando, al riguardo, un termine di conservazione orientativo – di 21 giorni – superabile, senza attivare le garanzie di cui all’art. 4, co. 1 dello Statuto dei lavoratori, in presenza di comprovate esigenze tecniche e organizzative;
- ha evidenziato che l’obiettivo del Provvedimento è di sensibilizzare e “responsabilizzare” i datori di lavoro sui trattamenti aventi a oggetto i metadati e, in particolare, sui relativi tempi di conservazione da parte dei fornitori.
Inoltre, nel ricordare che la “responsabilità generale” dei trattamenti dei metadati ricade sui datori di lavoro, in qualità di titolari del trattamento, il Garante ha invitato i fornitori dei servizi di posta elettronica a tenere conto del diritto alla protezione dei dati conformemente allo stato dell’arte e a contribuire a far sì che i datori di lavoro possano adempiere ai loro obblighi di protezione dei dati.
Nota di Confindustria
Al fine di supportare le imprese nella gestione dei metadati in modo conforme agli indirizzi del Garante, nel documento allegato, Confindustria illustra le indicazioni fornite dall’Autorità e fornisce alcune linee guida e indicazioni di carattere operativo.
In particolare, si richiama l’attenzione sulla necessità di verificare i tempi di conservazione dei metadati praticati dai fornitori, le motivazioni di carattere funzionale/tecnico dagli stessi fornite per giustificarne la conservazione per un certo periodo, nonché l’eventuale possibilità di stabilire in autonomia tempistiche di conservazione differenti e di disattivare le funzioni incompatibili con le proprie finalità del trattamento.
Inoltre, si suggerisce di:
- fornire ai lavoratori una informativa chiara sul trattamento dei dati personali relativi alle comunicazioni elettroniche che li riguardano;
- effettuare ovvero eventualmente aggiornare la valutazione di impatto sulla protezione dei dati personali, cc.dd. DPIA, documentando altresì le esigenze tecniche e organizzative che giustificano l’individuazione di un termine di conservazione dei metadati superiore ai 21 giorni e aggiornando il registro delle attività di trattamento;
- adottare tutte le misure tecniche e organizzative per garantire il rispetto della normativa sulla protezione dei dati personali e di quella di settore.
Per chiarimenti si prega di contattare:
Dott.ssa Enrica Masi – e.masi@confindustriatoscanacentroecosta.it – 0552707219
L’articolo è presente anche sul sito delle delegazione di Livorno e Massa Carrara: https://www.confindustrialivornomassacarrara.it/news.php?ID=37304