Nell’ambito delle sue competenze per la protezione dei dati personali, il 6 giugno scorso, il Garante per la Protezione dei Dati Personali ha emesso un nuovo provvedimento riguardante i programmi e i servizi di gestione della posta elettronica nel contesto lavorativo. Il documento è destinato a richiamare l’attenzione dei datori di lavoro su alcuni punti di intersezione tra la disciplina di protezione dei dati e le norme che stabiliscono le condizioni per l’impiego degli strumenti tecnologici nei luoghi di lavoro. Lo scopo è naturalmente quello di aiutare gli stessi datori di lavoro ad elaborare proprie linee guida, al fine di garantire la conformità alle norme in materia di protezione dei dati personali e di diritto del lavoro.
Principali rischi
Nel provvedimento si sottolinea che i programmi e i servizi per la gestione della posta elettronica possono raccogliere automaticamente metadati come:
- Indirizzi email del mittente e del destinatario.
- Indirizzi IP dei server e dei client.
- Orari di invio, ricezione e inoltro dei messaggi.
- Dimensioni dei messaggi e presenza di allegati.
- Oggetti dei messaggi (a seconda del sistema di gestione della posta elettronica).
Tali dati possono essere conservati per lunghi periodi, creando il rischio di controllo sistematico dell’attività dei dipendenti e violazione della loro privacy.
Misure per la protezione dei dati
Il Garante indica quindi ai datori di lavoro di adottare misure per la protezione dei dati dei dipendenti che seguano questi principi-guida:
- Principio di limitazione della conservazione: i tempi di conservazione dei metadati devono essere proporzionati alle finalità del trattamento. Nella maggior parte dei casi, il periodo di conservazione non dovrebbe superare i 21 giorni (indicazione che è data a titolo meramente orientativo), salvo particolari condizioni che giustifichino un periodo più lungo, legate alla necessità di garantire la sicurezza dei sistemi informatici o altre finalità legittime.
- Principi di protezione dei dati fin dalla progettazione e per impostazione predefinita: i datori di lavoro devono implementare misure di protezione dei dati in tutte le fasi del trattamento, dalla progettazione alla cancellazione dei dati. Questo include la scelta di misure tecniche e organizzative appropriate per minimizzare il rischio e garantire il rispetto dei principi della normativa in tema di privacy.
- Liceità del trattamento dei dati: i datori di lavoro devono verificare l’esistenza di basi giuridiche per il trattamento dei dati dei dipendenti. Questo include il rispetto delle condizioni stabilite dagli articoli 4 e 8 della Legge del 20 maggio 1970, n. 300 (Statuto dei lavoratori), che vietano la raccolta e il trattamento di informazioni non pertinenti all’attività professionale del lavoratore.
- Principio di minimizzazione dei dati: i datori di lavoro devono limitare la raccolta e la conservazione dei dati solo per il tempo necessario a raggiungere le finalità legittime del trattamento. Questo include la revisione regolare e la cancellazione dei dati non più necessari.
- Trasparenza e informazione: i datori di lavoro devono fornire ai dipendenti informazioni complete sulle caratteristiche del trattamento dei loro dati, sui tempi di conservazione e sulle misure di protezione. Ciò consentirebbe di creare policy aziendali in conformità agli articoli 12, 13 e 14 del Regolamento (UE) 2016/679.
- Limitazione dell’accesso e controllo: L’accesso ai metadati deve essere limitato solo alle persone autorizzate e tutte le operazioni sui dati devono essere tracciate e monitorate, al fine di prevenire l’accesso non autorizzato e l’uso improprio dei dati personali.
- Anonimizzazione dei dati: Nei casi in cui la conservazione prolungata dei dati non sia necessaria, si raccomanda di utilizzare l’anonimizzazione dei metadati per ridurre il rischio di fuga di dati e di uso improprio delle informazioni.
Responsabilità dei datori di lavoro
Come noto, la violazione dei requisiti del Regolamento UE 2016/679 può comportare sanzioni amministrative secondo l’articolo 83, par. 5, p. d) dello stesso Regolamento. Inoltre, è possibile una responsabilità penale per la violazione delle leggi nazionali sulla protezione dei dati, come l’art. 171 del D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali).
Ai datori di lavoro è perciò altamente consigliato adottare misure tecniche e organizzative appropriate (e, ove già presenti, verificare che siano adeguatamente dimostrabili, ad esempio creando policy scritte) per garantire la sicurezza dei dati e condurre valutazioni dei rischi e degli impatti sulla protezione dei dati.
***
Grazie a questo documento del Garante, è possibile verificare se il sistema di gestione degli account email aziendali è conforme alla normativa in tema di riservatezza dei dati personali. Inoltre, consente di correggere presenti policy interne o di adottarne di nuove.
Il nostro Studio è naturalmente a disposizione per aiutarVi a gestire la compliance interna.