L’utilizzo della posta elettronica da parte dei dipendenti costituisce lo strumento di lavoro principe negli uffici. Dall’utilizzo della email deriva, però, anche il trattamento dei dati dei lavoratori raccolti attraverso i metadati – che nrmalmente sono: giorno, ora, mittente, destinatario, oggetto e dimensione dell’email – dai quali il datore di lavoro può esercitare un controllo a distanza del lavoratore.

È per questo motivo che il Garante della protezione dei dati personali, nella Newsletter n. 517 del 6 febbraio 2024 ha ricordato il provvedimento n. 642 del 21 dicembre 2023 nel quale si stabilisce che la conservazione dei metadati non può essere superiore a 7 giorni, estensibili a ulteriori 48 ore in presenza di documentate esigenze che giustifichino tale prolungamento.
Il Garante, quindi, non si limita a regolamentare la raccolta dei metadati ma si occupa anche della conservazione, chiamando in causa, di fatto, anche il Responsabile della conservazione, soggetto apicale interno dell’organizzazione. La sua nomina è obbligatoria, secondo le disposizioni delle “Linee guida sulla formazione, gestione e conservazione dei documenti informatici” emanate da AGID, in vigore dal 2022.

Il Responsabile della conservazione, che, per la sua organizzazione di appartenenza, ha redatto obbligatoriamente il “Manuale di conservazione dei documenti informatici”, recante l’allegato sui metadati, ha tra i suoi compiti quello di occuparsi di tutti gli stati e le forniture di conservazione con autorità che gli viene conferita dalle citate linee guida AGID.
Il Responsabile della conservazione, infatti, ai sensi dell’art. 44 comma 1 quater del CAD – Dlgs. 82/2005 – “opera d’intesa con il Responsabile del trattamento dei dati personali, con il Responsabile della sicurezza e con il Responsabile dei sistemi informativi, può affidare, ai sensi dell’articolo 34, comma 1-bis, lettera b), la conservazione dei documenti informatici ad altri soggetti, pubblici o privati, che offrono idonee garanzie organizzative, e tecnologiche e di protezione dei dati personali.”

La visione d’insieme dei temi collegati alla potezione dei dati personali quali la conservazione, la sicurezza, i sistemi informativi, permette all’organizzazione di poter agire con ulteriore incisività anche nei confronti delle big tech che gestiscono i servizi cloud, per ottenere il risultato della conservazione temporalmente limitata dei metadati.
Il Responsabile della conservazione, deve, pertanto, essere necessariamente coinvolto e agire, di concerto con il Titolare del trattamento, il DPO, il CISO, il RSI, per attuare le disposizioni del Garante della privacy.

Nell’iter che porta all’ottenimento del risultato di limitazione della conservazione dei metadati, il Garante, nel documento di indirizzo del 21 dicembre 2023, ha individuato le iniziative da porre in essere dai datori di lavoro per prevenire trattamenti di dati personali non conformi alla normativa vigente:
• verificare con la dovuta diligenza che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti, specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service, consentano al cliente (datore di lavoro) di modificare le impostazioni di base, impedendo la raccolta dei predetti metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di 7 (sette) giorni, estensibile di ulteriori 48 ore.
• Diversamente, i datori di lavoro pubblici o privati, in qualità di titolari del trattamento, dovranno alternativamente, nel caso in cui i trattamenti di dati personali in questione si dovessero comunque rendere necessari per il perseguimento di esigenze organizzative o produttive, espletare le procedure di garanzia previste dalla disciplina di settore (art. 4 della l. 300/1970 – Statuto dei lavoratori) o cessare l’utilizzo di tali programmi e servizi informatici. Resta inteso che, nelle more dell’eventuale espletamento delle procedure di garanzia, i metadati non possono comunque essere utilizzati (cfr. art. 2-decies del Codice Dlgs. 196/2003).
• Deve essere assicurata la necessaria trasparenza nei confronti dei lavoratori, fornendo agli stessi una specifica informativa sul trattamento dei dati personali prima di dare inizio al trattamento.
• In ogni caso, con riferimento all’utilizzo di servizi basati sul cloud, si richiama quanto indicato nel report “2022 Coordinated Enforcement Action Use of cloud-based services by the public sector” pubblicato da EDPB che reca indicazioni sulle misure tecniche e organizzative necessarie ad assicurare il rispetto del GDPR in tale contesto, garantendo, in particolare, che i fornitori dei servizi cloud trattino i dati personali solo per conto dei rispettivi titolari e sulla base delle istruzioni da questi ricevute.

Si apre , quindi, una procedura da iniziare nel modo corretto e da concludere nei tempi più brevi con il contributo di tutti i soggetti cui vengono attribuiti compiti e poteri dalle norme vigenti.

ACTAINFO PNRR

AGID_Marketplace.png Misura 1.4.1: SPORTELLO DIGITALE e SITI WEB per Servizi digitali Pacchetto Cittadino Informato e Cittadino Attivo.
Misura 1.2: Migrazione servizi in CLOUD.
Misura 1.4.3: PagoPA, App IO.
Misura 1.4.4: SPID, CIE

 

 

Actaprivacy software cloud saas qualificato da AGID per l'adempimento del GDPR

AGID_Marketplace.png Per l’attuazione degli obblighi richiesti dal nuovo Regolamento UE Software cloud saas ActaPrivacy per la gestione degli adempimenti previsti per la protezione dei dati personali dal GDPR 2016/679.

 

 

ActaFad - Elearning Corso Whistleblowing per la segnalazione degli illeciti

Corso di formazione per l’attuazione degli obblighi formativi in materia di whistleblowing - segnalazione degli illeciti - richiesti dalla Delibera ANAC n. 311 del 12 luglio 2023

 

 

Leggi anche

Attacco hacker a Synlab Italia sospese attività di 500 laboratori e centri medici

Laboratori Hackerati

Attacco hacker ai sistemi informatici di Synlab Italia, network europeo di fornitura di servizi di analisi e diagnostica medica presente in oltre 30 nazioni in 4 continenti con più di 500 laboratori medici in cui lavorano 28.000 dipendenti e circa 600 milioni di esami eseguiti ogni anno. E’ stata la stessa società a renderlo noto sul […]

Attacchi Ransomware in Italia +85% nel 2023

Ransomware

Nel report annuale sullo stato di salute della cybersecurity, Cyber Think Tank di Assintel, evidenzia un aumento preoccupante degli attacchi informatici nel corso del 2023. Nel mondo si evidenzia un notevole incremento del 184% nel numero degli attacchi rispetto al 2022, con un totale di 7.068 attacchi malware individuati e classificati durante l’anno. Dal Dark […]

Vortice di aggiornamenti 2024 per Amministrazione trasparente con regole privacy

Nuove schede standard pubblicazione Amministrazione trasparente 2024

Dopo i 5 provvedimenti emanati nel 2023 da ANAC – Autorità Nazionale Anticorruzione: Seguono 2 ulteriori aggiornamenti di inizio 2024 che coinvolgono anche le misure di protezione dei dati personali. Conclusioni Gran lavoro sul fronte Amministrazione trasparente. Si paga il ritardo nella progettazione della digitalizzazione e nella necessità della interoperabilità, in questo caso, con le […]