Newsletter
Se desideri ricevere le news della SGST puoi farne richiesta.
Il servizio potrà essere attivato gratuitamente a scopo promozionale, previo valutazione della direzione. Per inviare la tua richiesta, clicca QUI o sul pulsante accanto.
ATTENZIONE: questa non è una iscrizione ad una mailing list ma la richiesta di adesione ad un vero e proprio servizio di aggiornamento tecnico e il rapporto giuridico sottostante ha natura contrattuale, ancorché gratuito.
Informativa privacy disponibile a questo link
Non pubblichiamo L'ARCHIVIO DELLE newsletter!
Nel corso degli ultimi 30 anni, abbiamo pubblicato migliaia di newsletter, inviate a migliaia di destinatari. Abbiamo deciso di cambiare radicalmente il modello di distribuzione degli aggiornamenti che ora sono inviati unicamente ai clienti paganti ed assistiti, interessati dalle singole tematiche e agli amici che ne fanno espressa richiesta.
Non pubblichiamo più alcuna informazione di aggiornamento a beneficio di chi non sia cliente diretto.
Gli aggiornamenti sono inviati unicamente e direttamente ai clienti interessati dalla specifica materia.
Gli aggiornamenti sono inviati in forma estesa, come parte del servizio di consulenza, corredati da specifici materiali, personalizzati per il singolo cliente, che permettono una immediata gestione della novità segnalata.
Le newsletter sono un servizio incluso nella consulenza offerta dalla SGST srl
L'unica cosa che facciamo, tramite il sito, è pubblicare un estratto dell'ultima news inviata: solo l'ultima, solo per estratto e con un ritardo rispetto all'invio alla clientela.
News da SGST srl - 8 Febbraio 2024
Documento di indirizzo (Provvedimento a carattere generale) del Garante privacy in materia di POSTA ELETTRONICA.
SINTESI
ANALISI
COSA FARE
PER APPROFONDIRE - WEBINAR
SINTESI
Il garante Privacy, di fatto, costringe ogni azienda ad attivarsi per riconsiderare e gestire i propri sistemi di posta elettronica. Se la conservazione dei messaggi, sul server o sui client, è superiore a 7 giorni, è necessario:
Firmare un accordo sindacale per la sua regolarizzazione o, in caso di mancato accordo o di assenza delle rappresentanze sindacali,
presentare una domanda di autorizzazione alla Direzione Territoriale del Lavoro.
L’alternativa (irricevibile) è la sostituzione del sistema di posta elettronica con uno che permetta l’osservanza dei requisiti previsti dal Garante.
In considerazione dell’impatto del provvedimento, ritengo opportuno attendere chiarimenti ufficiali a riguardo, sia dall’autorità Garante che dall’Ispettorato nazionale del lavoro.
Il provvedimento non prevede tempistiche di attuazione ma indica delle attività preliminari che devono precedere i punti A) B) C): la prima delle misure indicate dal garante consiste dell’invio ai provider di servizi di posta elettronica della richiesta di ottemperanza riportata in calce.
ANALISI
Il giorno 6 Febbraio 2024, è stato pubblicato il provvedimento del Garante per la protezione dei dati personali denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati". Il documento è reperibile sul sito del Garante.
Scopo del documento è, in particolare, fornire indicazioni ai datori di lavoro in merito all’utilizzo di programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud o SaaS, che possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email), conservando gli stessi per un esteso arco temporale.
Servizi che, talvolta, limitano la possibilità per il cliente (cioè il datore di lavoro) addirittura di modificare le impostazioni di base del programma informatico, al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi.
Affinché l’uso di tali strumenti sia lecito, la nostra Authority pone l’attenzione su quest’ultimo aspetto, stabilendo che:
AUTORIZZAZIONE MINISTERIALE O ACCORDO SINDACALE - analogo a quello previsto per i sistemi di videosorveglianza: per poter applicare il c. 2 dell’art. 4 dello Statuto dei lavoratori (che prevede l’esclusione dell’obbligo dell’accordo sindacale o dell’autorizzazione nell’ispettorato), il sistema deve rientrare tra quegli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”; l’attività di raccolta e conservazione dei soli c.d. metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica non deve pertanto eccedere un tempo superiore di norma a poche ore o ad alcuni giorni, o al limite sette giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore (soglie massime funzionali a valutazioni tecniche di necessità);
In caso contrario (se cioè la generalizzata raccolta e la conservazione di tali metadati avviene per un lasso di tempo più esteso, benché sul presupposto della sua necessità per finalità di sicurezza informatica e tutela dell’integrità del patrimonio, anche informativo, del datore di lavoro), non sarebbe più sostenibile l’eccezione di cui sopra, per cui si richiede l’ottenimento (preventivo) dell’autorizzazione ministeriale (ITL o INL) o accordo sindacale, come previsto dallo Statuto dei lavoratori.
Il provvedimento spiega poi che, di conseguenza, il trattamento ulteriore dei dati personali, raccolti in assenza delle già menzionate garanzie, sarebbe illecito, sotto diversi profili. La conseguenza immediata consiste nella possibile sanzione pecuniaria per violazione del GDPR sommata alla sanzione penale per violazione dell’art 4 dello Statuto dei lavoratori.
In questo quadro – e al netto di opinioni favorevoli o contrarie a questo provvedimento (non sono pochi, infatti, coloro che sostengono che il trattamento dei metadati oltre tali strettissimi termini non eccederebbe comunque i limiti di cui al comma 2) – si presenta un grosso problema pratico per le aziende e gli enti pubblici che utilizzino sistemi di posta elettronica, relativo alle tempistiche necessarie per raggiungere un vero accordo sindacale, o quelle per ottenere l’autorizzazione dell'Ispettorato nazionale del lavoro
Il provvedimento si limita a precisare che, “nelle more dell’eventuale espletamento delle procedure di garanzia, i predetti metadati non possono comunque essere utilizzati (cfr. art. 2-decies del Codice)”. Il garante non dà indicazioni pratiche sul corretto comportamento da tenere in questo lasso temporale, con conseguente possibili responsabilità civili e soprattutto penali.
Per quanto riguarda le iniziative da adottare per la compliance normativa, il Garante, dopo aver ricordato l’obbligo di “verificare con la dovuta diligenza che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti - specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service - consentano al cliente (datore di lavoro) di modificare le impostazioni di base, impedendo la raccolta dei predetti metadati o limitando il periodo di conservazione degli stessi ad un limite massimo di sette giorni, estensibile di ulteriori 48 ore”, specifica che i datori di lavoro “dovranno alternativamente, nel caso in cui i trattamenti di dati personali in questione si dovessero comunque rendere necessari per il perseguimento di esigenze organizzative o produttive, espletare le richiamate procedure di garanzia previste dalla disciplina di settore (art. 4 della l. 300/1970) o cessare l’utilizzo di tali programmi e servizi informatici”.
Anche sotto questo profilo si ravvisano problemi di non poco conto: la cessazione di tali strumenti, con il conseguente passaggio - scelta, adozione, implementazione e infine utilizzo - a nuovi sistemi che permettano la compliance, potrebbe infatti non essere per nulla agevole, specialmente per le organizzazioni di grandi dimensioni.
COSA FARE
Le aziende clienti saranno assistite nelle procedure di regolarizzazione e nelle valutazioni necessarie.
Il Garante indica una serie di attività preliminari che possono essere adottate per dimostrare di essersi attivati in modo diligente e tempestivo.
Suggerisco di procedere come segue:
identificare tutti i propri fornitori di servizi di posta elettronica,
per ciascuno, individuare il codice fiscale e, tramite il portale INI PEC, reperire l’indirizzo di posta elettronica certificata. ( https://www.inipec.gov.it/ )
inviare a ciascun fornitore la pec seguente:
Oggetto: Provvedimento del Garante Privacy n. 642 del 21 Dicembre 2023 - documento di indirizzo per sistemi di posta elettronica
Con riferimento al provvedimento in oggetto, la scrivente intende verificare che i programmi e servizi informatici di gestione della posta elettronica in uso ai propri dipendenti ci consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati relativi ai singoli messaggi quali giorno, ora, mittente, destinatario, oggetto, dimensione.
Vi chiediamo, a titolo esplorativo, se sussiste la possibilità di impostare il periodo di conservazione degli stessi ad un limite massimo di 216 ore (9 giorni).
Con la presente vi chiediamo di rilasciare una dichiarazione di ottemperanza attestante la conformità del servizio erogato al provvedimento in oggetto.
La richiesta fa riferimento unicamente ai trattamenti da voi erogati in regime di "responsabile del trattamento" come definito dall'art 4 del GDPR (data processor) e non si estende ai trattamenti da voi effettuati in regime di autonoma titolarità (data controller)
Cordiali saluti.
Successivamente saranno valutate le risposte ricevute dai singoli provider per definire le attività successive.
PER APPROFONDIRE - WEBINAR
È stato programmato per il 22 Febbraio, dalle 14:00 alle 18:00 un webinar live di approfondimento monografico dedicato al provvedimento del Garante. Saranno sviluppati tutti gli aspetti tecnici e le implicazioni, lo stato dell’arte sul provvedimento, le più autorevoli posizioni e gli ipotetici sviluppi della nuova regolamentazione dei sistemi di posta elettronica.
Ampio spazio sarà dato all’interazione e alla gestione delle casistiche individuali.
Il webinar è valido ai fini dell’aggiornamento della formazione in materia di protezione dei dati personali.
Per partecipare è necessaria l’iscrizione tramite la pagina https://www.sgst.it/formazione/calendario-formazione
La partecipazione è gratuita (fino a 3 partecipanti) per le aziende assistite da contratto di consulenza in materia di Privacy.
Per le aziende non assistite, la partecipazione ha un costo pari a 100 € + iva (scontistiche e modalità presenti all’interno della pagina di iscrizione.
Chi fosse interessato ad approfondire individualmente la tematica può accedere all’articolo di commento con la posizione di Christian Bernieri sul Documento di Indirizzo. Il link di pubblicazione è il seguente:
https://bernieri.blogspot.com/2024/02/chi-vusa-puse-la-vaca-le-sua.html
La SGST srl e Bernieri Consulting restano a disposizione per ogni eventuale chiarimento ed integrazione.
Christian Bernieri
Principal Consultant
________________________________________________________
Bernieri Consulting - SGST srl
Corso Sempione 76 - 20154, Milano
Questo messaggio è inviato da un account professionale, ad esclusivo uso aziendale, non ha natura personale e le risposte potranno essere conosciute all’interno dell’organizzazione di cui fa parte il mittente. Informativa privacy su www.sgst.it
Bernieri Consulting: C.F. BRNCRS73B17G535I - P.IVA 06980430968 - REA MI1926912
SGST SRL: CF e P.Iva 11491000151 REA MI n.1472013 Cap Soc 10.400 Euro
Azienda Certificata ISO9001:2015 Cert. n. 709/2006 ICDQ-Accredia
________________________________________________________
Rispetta l'ambiente: se non ti è necessario, non stampare questa mail.
Please don't print this email unless you really need to.
Professionista soggetto alla Legge 4/2013
Disposizioni in materia di professioni non organizzate.
Polizza assicurativa sottoscritta.