News
Archivio newsConservazione metadati: nuove indicazioni per la privacy
Con il provvedimento n. 364 del 2024, il Garante privacy pubblica il nuovo Documento di indirizzo che riguarda la progettazione e l’utilizzo dei programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e il trattamento dei metadati possibili responsabilità per i datori di lavoro pubblici e privati.
Il Garante per la protezione dei dati personali, nel provvedimento n. 364 del 6 giugno 2024, interviene deliberando un nuovo documento di indirizzo, nell’ambito dei programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati possibili responsabilità per i datori di lavoro pubblici e privati. Liceità del trattamento Con riferimento alla liceità del trattamento, il Garante precisa che il ricorso a sistemi e soluzioni di gestione e conservazione dei log è consentito(art. 4, comma 3, della L. n. 300/1970) per le finalità connesse alla gestione del rapporto di lavoro, solo per le informazioni già lecitamente raccolte nel rispetto delle condizioni e dei limiti previsti dalla legge e, dunque, nei limiti in cui l’originaria raccolta sia stata lecitamente effettuata nonché fornendo una “adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli” nel rispetto di quanto disposto dalla disciplina di protezione dei dati personali. Inoltre, dagli elementi ricavabili dai dati esteriori della corrispondenza, come l’oggetto, il mittente e il destinatario e altre informazioni che accompagnano i dati in transito, definendone profili temporali (come la data e l’ora di invio/ricezione), nonché dagli aspetti quali-quantitativi anche in ordine ai destinatari e alla frequenza di contatto (in quanto anche questi dati sono, a propria volta, suscettibili di aggregazione, elaborazione e di controllo), è possibile acquisire informazioni riferite alla sfera personale o alle opinioni dell’interessato. Principio di correttezza e trasparenza La raccolta e la conservazione dei log devono avvenire nel rispetto dei principi di correttezza e trasparenza nei confronti dei lavoratori che devono essere adeguatamente informati sul trattamento dei dati personali relativi alle comunicazioni elettroniche che li riguardano. Principio di limitazione della conservazione I tempi di conservazione dei metadati devono in ogni caso essere proporzionati rispetto alle legittime finalità perseguite. In particolare, finalità connesse alla sicurezza informatica e alla tutela del patrimonio informatico giustificano la conservazione dei metadati per un arco temporale congruo rispetto all’obiettivo di rilevare e mitigare eventuali incidenti di sicurezza, adottando tempestivamente le opportune contromisure. Ove i tempi di conservazione non siano definiti in maniera proporzionata alle finalità del trattamento, il titolare del trattamento può incorrere nella violazione del principio di “limitazione della conservazione”. Protezione dei dati Il datore di lavoro deve, altresì, adottare misure volte ad assicurare il rispetto dei principi della protezione dei dati fin dalla progettazione del trattamento e per impostazione predefinita, anche con riguardo alle adeguate misure tecniche e organizzative messe in atto al fine di garantire il rispetto della disciplina in materia di protezione dei dati e di quella di settore eventualmente applicabile. Già in fase di progettazione, sviluppo, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali, i produttori dei servizi e delle applicazioni debbano tenere conto del diritto alla protezione dei dati conformemente allo stato dell’arte. In particolare, spetta al titolare del trattamento verificare che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti - specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service - consentano al cliente (datore di lavoro) di rispettare la disciplina di protezione dei dati nei termini indicati dal nuovo documento di indirizzo. Copyright © - Riproduzione riservata
Garante per la protezione dati personali, provvedimento 06/06/2024, n. 364