Email dei dipendenti: Trattamento e Conservazione Metadati

15/02/2024

L’utilizzo della posta elettronica da parte dei dipendenti costituisce lo strumento di lavoro principe negli uffici. Dall’utilizzo della email deriva, però, anche il trattamento dei dati dei lavoratori raccolti attraverso i metadati – che nrmalmente sono: giorno, ora, mittente, destinatario, oggetto e dimensione dell’email – dai quali il datore di lavoro può esercitare un controllo a distanza del lavoratore.

È per questo motivo che il Garante della protezione dei dati personali, nella Newsletter n. 517 del 6 febbraio 2024 ha ricordato il provvedimento n. 642 del 21 dicembre 2023 nel quale si stabilisce che la conservazione dei metadati non può essere superiore a 7 giorni, estensibili a ulteriori 48 ore in presenza di documentate esigenze che giustifichino tale prolungamento.
Il Garante, quindi, non si limita a regolamentare la raccolta dei metadati ma si occupa anche della conservazione, chiamando in causa, di fatto, anche il Responsabile della conservazione, soggetto apicale interno dell’organizzazione. La sua nomina è obbligatoria, secondo le disposizioni delle “Linee guida sulla formazione, gestione e conservazione dei documenti informatici” emanate da AGID, in vigore dal 2022.

Il Responsabile della conservazione, che, per la sua organizzazione di appartenenza, ha redatto obbligatoriamente il “Manuale di conservazione dei documenti informatici”, recante l’allegato sui metadati, ha tra i suoi compiti quello di occuparsi di tutti gli stati e le forniture di conservazione con autorità che gli viene conferita dalle citate linee guida AGID.
Il Responsabile della conservazione, infatti, ai sensi dell’art. 44 comma 1 quater del CAD – Dlgs. 82/2005 – “opera d’intesa con il Responsabile del trattamento dei dati personali, con il Responsabile della sicurezza e con il Responsabile dei sistemi informativi, può affidare, ai sensi dell’articolo 34, comma 1-bis, lettera b), la conservazione dei documenti informatici ad altri soggetti, pubblici o privati, che offrono idonee garanzie organizzative, e tecnologiche e di protezione dei dati personali.”

La visione d’insieme dei temi collegati alla potezione dei dati personali quali la conservazione, la sicurezza, i sistemi informativi, permette all’organizzazione di poter agire con ulteriore incisività anche nei confronti delle big tech che gestiscono i servizi cloud, per ottenere il risultato della conservazione temporalmente limitata dei metadati.
Il Responsabile della conservazione, deve, pertanto, essere necessariamente coinvolto e agire, di concerto con il Titolare del trattamento, il DPO, il CISO, il RSI, per attuare le disposizioni del Garante della privacy.

Nell’iter che porta all’ottenimento del risultato di limitazione della conservazione dei metadati, il Garante, nel documento di indirizzo del 21 dicembre 2023, ha individuato le iniziative da porre in essere dai datori di lavoro per prevenire trattamenti di dati personali non conformi alla normativa vigente:
• verificare con la dovuta diligenza che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti, specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service, consentano al cliente (datore di lavoro) di modificare le impostazioni di base, impedendo la raccolta dei predetti metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di 7 (sette) giorni, estensibile di ulteriori 48 ore.
• Diversamente, i datori di lavoro pubblici o privati, in qualità di titolari del trattamento, dovranno alternativamente, nel caso in cui i trattamenti di dati personali in questione si dovessero comunque rendere necessari per il perseguimento di esigenze organizzative o produttive, espletare le procedure di garanzia previste dalla disciplina di settore (art. 4 della l. 300/1970 – Statuto dei lavoratori) o cessare l’utilizzo di tali programmi e servizi informatici. Resta inteso che, nelle more dell’eventuale espletamento delle procedure di garanzia, i metadati non possono comunque essere utilizzati (cfr. art. 2-decies del Codice Dlgs. 196/2003).
• Deve essere assicurata la necessaria trasparenza nei confronti dei lavoratori, fornendo agli stessi una specifica informativa sul trattamento dei dati personali prima di dare inizio al trattamento.
• In ogni caso, con riferimento all’utilizzo di servizi basati sul cloud, si richiama quanto indicato nel report “2022 Coordinated Enforcement Action Use of cloud-based services by the public sector” pubblicato da EDPB che reca indicazioni sulle misure tecniche e organizzative necessarie ad assicurare il rispetto del GDPR in tale contesto, garantendo, in particolare, che i fornitori dei servizi cloud trattino i dati personali solo per conto dei rispettivi titolari e sulla base delle istruzioni da questi ricevute.

Si apre , quindi, una procedura da iniziare nel modo corretto e da concludere nei tempi più brevi con il contributo di tutti i soggetti cui vengono attribuiti compiti e poteri dalle norme vigenti.

TAG

Servizio Secure Plus MDR Bitdefender Partner Actainfo

Il Managed Detection and Response – MDR – è un servizio di sicurezza informatica che combina esperti di sicurezza umani e tecnologie avanzate per monitorare, rilevare, analizzare e rispondere proattivamente alle minacce informatiche per un’organizzazione. MDR offre un servizio di sicurezza gestito 24/7.

 

 

Actaprivacy software cloud saas qualificato da AGID per l'adempimento del GDPR

AGID_Marketplace.png Per l’attuazione degli obblighi richiesti dal nuovo Regolamento UE Software cloud saas ActaPrivacy per la gestione degli adempimenti previsti per la protezione dei dati personali dal GDPR 2016/679.

 

 

ACTAINFO PNRR

AGID_Marketplace.png Misura 1.4.1: SPORTELLO DIGITALE e SITI WEB per Servizi digitali Pacchetto Cittadino Informato e Cittadino Attivo.
Misura 1.2: Migrazione servizi in CLOUD.
Misura 1.4.3: PagoPA, App IO.
Misura 1.4.4: SPID, CIE

 

 

Leggi anche

Online ActaFOIA, applicativo con accesso SPID e registro FOIA.

Il Dlgs. 25 maggio 2016, n. 97 prevede che ogni cittadino possa accedere senza alcuna motivazione ai dati in possesso della Pubblica Amministrazione e che non abbia la possibilità di ricevere rifiuto alla richiesta di informazioni, se non motivato. L’Articolo 5 introduce una nuova forma di accesso civico ai dati e documenti pubblici equivalente a […]

Microsoft word a Rischio Privacy per salvataggio One Drive

Word

Da agosto 2025, Microsoft ha annunciato che Word per Windows salverà automaticamente tutti i nuovi documenti su OneDrive per impostazione predefinita. Estenderà il modello di salvataggio su cloud predefinito a tutti gli di Excel e PowerPoint nel corso dell’anno. Microsoft presenta questo cambiamento come un vantaggio per la sicurezza, la conformità, la collaborazione e le […]

Scade 31 dicembre 2025 – Dataset Open Data – Piano ICT

Come riportato tra gli adempimenti di AGID sul Piano Triennale Informatica 2024-26, scade il 31 Dicembre 2025 per – Ogni Comune con popolazione tra 10.000 e 100.000 abitanti, ogni Unione di Comuni o altri tipi di consorzi e associazioni, ogni Comunità Montana o isolana pubblica (non ancora presenti nel 2024 nel catalogo dati.gov.it) pubblicano e […]

Contattaci

Per maggiori informazioni contattaci compilando questo modulo. Ti ricontatteremo quanto prima possibile.

Informativa Privacy art. 13 GDPR UE 2016/679

Actainfo s.r.l.

sede legale: via boccaccio 4
sede operativa: Via patini 5
64026 Roseto degli Abruzzi (TE)

ICT  – Transizione Digitale – PNRR – Servizi digitali CLOUD – Privacy GDPR
Servizi WEB e Portali – Partner Aruba PEC – Conservazione digitale
Formazione specialistica on line – FAD – Marketing e comunicazione
Servizi Qualificati Marketplace ACN – Abilitazioni MEPA 2009 e 2017
Aggregatore SPID Intermediario tecnologico convenzionato AGID

Facebook-f Twitter Telegram-plane
  • Telefono: +39 085 2010274 - 2194581 - 2015591
  • Email: info@actainfo.it
  • PEC: info@actapec.it
  • P.IVA: 01901750677