Blog Visite: 292

Garante Privacy e metadati email

metadati email

Nuove linee guida del Garante Privacy su email aziendali e metadati: cosa cambia per le aziende?

 

Il Garante per la protezione dei dati personali ha recentemente pubblicato un nuovo documento di indirizzo che fornisce indicazioni specifiche ai datori di lavoro in merito alla gestione dei programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo, con particolare attenzione al trattamento dei metadati.

Prima di tutto: cosa sono i metadati?
I metadati sono informazioni che descrivono un'altra informazione. In ambito di posta elettronica, i metadati includono, ad esempio, il mittente, il destinatario, l'oggetto, la data e l'ora dell'invio e della ricezione, la dimensione del messaggio e gli allegati.

Cosa prevedono le nuove linee guida?
Le nuove linee guida del Garante si concentrano su due aspetti principali:

1. Raccolta e conservazione dei metadati:

  • - La raccolta e la conservazione dei metadati non deve essere generalizzata e preventiva, ma deve avvenire solo in presenza di specifiche esigenze e per un periodo di tempo congruo rispetto alle finalità perseguite.
  • - Il periodo di conservazione predefinito dei metadati non può superare i 7 giorni, estensibili a 48 ore in caso di comprovate esigenze.
  • - I datori di lavoro devono informare i dipendenti in modo chiaro e trasparente sulle modalità di trattamento dei metadati.

2. Modifica delle impostazioni di base dei programmi di posta elettronica:

  • - I datori di lavoro devono verificare che i programmi di posta elettronica in uso permettano la modifica delle impostazioni di base, in modo che i dipendenti possano limitare la raccolta dei metadati o disattivarla del tutto.
  • - In caso di utilizzo di soluzioni cloud o as-a-service, i datori di lavoro devono assicurarsi che il fornitore del servizio offra adeguate garanzie di sicurezza e riservatezza dei dati.

Quali sono le implicazioni per le aziende?

Le nuove linee guida del Garante Privacy impongono alle aziende di rivedere le proprie policy e procedure in materia di gestione della posta elettronica aziendale e di trattamento dei metadati. In particolare, le aziende dovranno:

  • - Adeguare i programmi di posta elettronica in modo da consentire la modifica delle impostazioni di base relative alla raccolta dei metadati.
  • - Informare i dipendenti in modo chiaro e trasparente sulle modalità di trattamento dei metadati.
  • - Rivedere i periodi di conservazione dei metadati, limitandoli al minimo indispensabile.
  • - Assicurarsi che i fornitori di servizi cloud o as-a-service offrano adeguate garanzie di sicurezza e riservatezza dei dati.

Accordo sindacale o richiesta all'Ispettorato del Lavoro:
Le nuove linee guida del Garante Privacy lasciano aperte due possibilità per le aziende che necessitano di conservare i metadati delle email aziendali per un periodo di tempo superiore a 7 giorni:

1. Accordo sindacale:
Le aziende possono stipulare un accordo con le rappresentanze sindacali aziendali o territoriali per derogare al limite di 7 giorni. L'accordo deve specificare le ragioni per cui è necessaria la conservazione prolungata dei metadati, le modalità di trattamento e le misure di sicurezza adottate per tutelare la privacy dei dipendenti.

2. Richiesta all'Ispettorato del Lavoro:
In alternativa all'accordo sindacale, le aziende possono richiedere l'autorizzazione all'Ispettorato Nazionale del Lavoro.

L'importanza di un'analisi approfondita
Prima di optare per una delle due opzioni, le aziende dovrebbero effettuare un'analisi approfondita delle loro esigenze e dei rischi connessi alla conservazione dei metadati. È importante valutare se la conservazione prolungata dei metadati è realmente necessaria e se non esistono alternative meno invasive per la tutela della sicurezza aziendale.

Consigli per le aziende

  • - Consultare il proprio DPO: Il DPO può aiutare l'azienda a valutare le sue esigenze e a scegliere la soluzione più adeguata per la gestione dei metadati.
  • - Effettuare un'analisi dei rischi: Valutare i rischi per la sicurezza aziendale connessi alla cancellazione dei metadati dopo 7 giorni.
  • - Dialogare con le rappresentanze sindacali: Se si opta per un accordo sindacale, è importante coinvolgere le rappresentanze sindacali fin dall'inizio del processo.
  • - Documentare adeguatamente le proprie scelte: È importante documentare le ragioni per cui l'azienda ha scelto di conservare i metadati per un periodo di tempo superiore a 7 giorni.

Dubbi e perplessità
Nonostante le nuove linee guida del Garante forniscano un quadro più chiaro in materia di trattamento dei metadati delle email aziendali, alcune perplessità rimangono.

Ad esempio, non è chiaro come le aziende dovranno bilanciare le esigenze di sicurezza e controllo con la tutela della privacy dei dipendenti. Inoltre, il breve periodo di conservazione predefinito dei metadati (7 giorni) potrebbe risultare problematico per alcune aziende che necessitano di conservare tali dati per un periodo più lungo per finalità di analisi, di sicurezza informatica, di compliance o anche di tutela dell'azienda e dei propri dipendenti da possibili azioni giudiziarie o amministrative (ad es. per una querela occorrono tre mesi dal fatto o dal giorno in cui l’offeso ne ha avuto notizia).

In conclusione
Le nuove linee guida del Garante Privacy rappresentano un passo avanti importante nella tutela della privacy dei lavoratori. Tuttavia, le aziende dovranno affrontare alcune sfide per adeguarsi alle nuove disposizioni.

Il team di Securnow Security Advisor è a disposizione della tua azienda per proteggere i tuoi asset e le tue informazioni.
Contattaci.