Il Garante per la protezione dei dati personali il 6 febbraio 2024, ha pubblicato il documento “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro del settore pubblico e privato.
Nel documento vengono date delle indicazioni, per chi utilizza sistemi di gestione della posta elettronica forniti anche in modalità cloud o as-a-service, “utili a prevenire trattamenti di dati in contrasto con la disciplina sulla protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori”.
Il provvedimento prende in esame e pone una regolamentazione al periodo di conservazione dei metadati relativi ai sistemi di gestione della posta elettronica poiché potrebbero comportare un indiretto controllo a distanza dell’attività del lavoratore.
Cosa sono i metadati?
I metadati sono dati aggiuntivi di un documento informatico che hanno lo scopo in genere di migliorare ricerca e accesso ai dati. Sono stringhe che riguardano le proprietà di un documento (giorno, ora, mittente, destinatario), ma non il contenuto.
Lo scopo della conservazione dei metadati è in genere legata a motivi di sicurezza informatica.
Il provvedimento del Garante disciplina il periodo di conservazione dei metadati. Il datore di lavoro ha l’onere di verificare che i sistemi di gestione della posta elettronica permettano di cambiare le impostazioni di base, così da impedirne o limitarne il periodo di conservazione ad un massimo di 7 giorni (estendibili di 48 ore), fatto salvo un accordo sindacale o l’autorizzazione dell’Ispettorato del lavoro per poter stabilire un periodo di conservazione più lungo.
Questo comporta l’adeguamento dei sistemi di gestione della posta elettronica, che dovranno garantire di poter aderire a quanto richiesto dalla normativa entro 1 anno, quindi entro il 21/12/2024.
Cosa stanno facendo i principali gestori di sistemi di posta?
Kinetica sta contattando i vari gestori di sistemi di posta per capire come hanno recepito la normativa e che strategie intraprenderanno per l’adeguamento.
La norma non è di facile attuazione e diversi tavoli tecnici si sono aperti per capire l’impatto che questa modifica avrà sulla conservazione della posta elettronica, oltre che sul metadato.
Google ha risposto alla nostra richiesta di chiarimento in tempi molto rapidi, assicurando che sarà conforme alle nuove disposizioni entro il 21/12/2024 e che sono già al lavoro sulle attività da effettuare.
Google Workspace è sottoposto regolarmente a diverse analisi e report di terze parti indipendenti per verificare i loro controlli di sicurezza, privacy e conformità. Per un elenco completo delle loro attività di conformità, è possibile visitare il sito Cloud Compliance nel link a seguire:
https://cloud.google.com/compliance?hl=it#/
Microsoft non ha ancora risposto alla nostra richiesta, ma da sempre si adopera per applicare misure tecniche e organizzative all’avanguardia per supportare il GDPR. Ci aspettiamo pertanto che provvederanno ad adeguarsi entro i termini indicati. Per un elenco completo delle loro attività di conformità, è possibile visitare il sito Microsoft al seguente indirizzo specifico:
https://www.microsoft.com/it-it/trust-center/privacy/gdpr-overview
Per quanto riguarda le caselle di posta erogate tramite server Kinetica, i nostri sistemisti provvederanno alle configurazioni necessarie per aderire alla normativa appena saranno disponibili i chiarimenti tecnici che gli esponenti dei principali provider italiani hanno richiesto al Garante. Daremo informazioni specifiche in merito nei prossimi mesi.
Estensione del periodo di conservazione
Ricordiamo che i datori di lavoro che per esigenze organizzative, produttive o per la sicurezza informatica avessero necessità di trattare i metadati per un periodo di tempo superiore, è prevista la possibilità di fare un accordo con i lavoratori. Informarsi presso il proprio DPO, un Consulente del Lavoro o con lo Studio Legale di riferimento in merito a questa possibilità.
Appena Kinetica avrà chiarito con i gestori un piano attuativo delle operazioni eventualmente necessarie per dare luogo alla conformità normativa ne darà comunicazione ai propri clienti tramite il sito, la newsletter e i canali social.
Kinetica è il vostro partner per la sicurezza informatica
Per ridurre i rischi Kinetica può:
-
- affiancarvi nella scelta e nella fornitura di un buon antivirus,
- controllare periodicamente i computer,
- fare corsi di formazione al personale.
Contatti
Per maggiori informazioni contattateci ai nostri abituali recapiti o mandate una mail a preventivi@kinetica.it.
Modulo contatti
Tutti i campi sono obbligatori.