Servizio di messa a norma - LOG e METADATI DI POSTA ELETTRONICA
Gli scenari attuali delle tecnologie più utilizzate per la gestione ordinaria del lavoro, tra Adempimenti, Statuto dei Lavoratori, GDPR, Sentenze e Provvedimenti del Garante Privacy. Office automation, posta elettronica, protezione delle reti, ticketing, gestionali, strumenti organizzativi e amministrativi, AI.
Per attivare il servizio di consulenza integrativa dedicato, si prega di contattare la SGST utilizzando form di richiesta. Sarà predisposto un progetto di intervento comprensivo di tempi e costi.
SINTESI:
A seguito di alcuni recenti interventi del Garante Privacy, è emersa la necessità di ottenere all'autorizzazione presso l'ispettorato del lavoro (o accordo sindacale) per utilizzare sistemi informatici molto comuni comune come log delle email, log di sistemi di protezione delle reti, del traffico internet, reportistica lavorativa e programmi gestionali.
In mancanza di questa autorizzazione, tutti i dati personali contenuti nei log relativi a tali sistemi devono essere eliminati entro 21 giorni. Se i sistemi informatici non permettono tale personalizzazione (come accade per i principali vendor come Google e Microsoft) l'unica soluzione praticabile è richiedere l'autorizzazione all'Ispettorato per l'uso di tali sistemi.
L'utilizzo d itali sistemi senza autorizzazione (o accordo sindacale), per il Garante Privacy, comporta la violazione dell'art 4 dello Statuto dei Lavoratori che prevede una sanzione di carattere penale.
Attenzione: la necessità di cancellare i log entro 21 giorni non comporta la cancellazione di dati operativi come le singole email, i file di lavoro o gli archivi, ma riguarda unicamente i log dei sistemi ed i metadati.
Per attivare il servizio di consulenza integrativa dedicato, si prega di contattare la SGST utilizzando form di richiesta. Sarà predisposto un progetto di intervento comprensivo di tempi e costi.
https://forms.gle/emRS71hHoaG7Vo4YA
* * *
Dettaglio.
Come illustrato nelle precedenti newsletter, segnaliamo che il Garante per la Protezione dei Dati Personali ha dato attuazione a quanto anticipato nel corso degli ultimi due anni con il Provvedimento n. 10134221 del 29 aprile 2025 (di seguito anche “Provvedimento”). Il provvedimento costituisce la prima vera pronuncia dell’Autorità sul tema dei metadati a seguito della pubblicazione del noto Documento di indirizzo di giugno 2024. Il tema è stato trattato in occasione di precedenti webinar:
prima parte: https://youtu.be/hoRhm_AG7eE
seconda parte: https://youtu.be/vrGwc5g-lbE
Il Garante, oltre a sanzionare l'ente, affronta nel dettaglio alcuni aspetti centrali in merito alla conservazione dei metadati delle e-mail e dei log di navigazione Internet e di altri sistemi di frequente utilizzo aziendale, fornendo chiarimenti e prescrizioni di particolare interesse per i processi di privacy governance e compliance.
Nello specifico, analizzando i trattamenti di dati e le misure implementate dalla Regione Lombardia, il Garante rileva diverse criticità con riferimento all’inadeguatezza dei tempi di conservazione dei dati, all’assenza o inadeguatezza delle misure di garanzia e sicurezza (e.g., accordo sindacale o autorizzazione dell'ispettorato del lavoro) e al mancato svolgimento di una valutazione d’impatto (“DPIA”).
Nel merito, è necessario evidenziare i punti salienti:
i metadati di posta elettronica venivano conservati da Regione Lombardia per un periodo complessivo di 90 giorni in assenza di un preventivo accordo con le rappresentanze sindacali. Sul punto, Il Garante ha chiarito che la raccolta sistematica e la conservazione di tali dati per un periodo superiore a 21 giorni, anche se giustificata da esigenze di sicurezza o tutela del patrimonio aziendale, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, dello Statuto dei lavoratori, che consistono in un accordo sindacale o, in alternativa, un’autorizzazione dell’Ispettorato nazionale del lavoro, al pari degli impianti di videosorveglianza o a quelli di geolocalizzazione. Diversamente, solo una conservazione inferiore a 21 giorni o la comprovata e documentata ricorrenza di circostanze eccezionali legate alla specifica organizzazione tecnica del datore di lavoro, permetterebbero di escludere tale obbligo. È importante osservare che la conservazione di 90 giorni è quella preimpostata dal fornitore e dal sistema in uso (nel caso specifico Microsoft) e tale parametro non sarebbe stato modificabile dall'utilizzatore o dall'azienda. Questa circostanza limitante è stata giudicata irrilevante dal Garante.
i log di navigazione, comprensivi dei tentativi di accesso a siti bloccati per policy aziendale, erano conservati da Regione Lombardia per un periodo massimo di 12 mesi. Anche in questo caso, il Garante ha precisato che, laddove tali dati siano riferibili a singoli lavoratori, il trattamento può configurare un controllo a distanza soggetto alle garanzie dello Statuto dei lavoratori. Dunque, il superamento del termine di 21 giorni per la conservazione dei log deve essere assistito da idonee tutele autorizzative (accordo sindacale o autorizzazione ispettorato) al pari degli impianti di videosorveglianza o a quelli di geolocalizzazione.
il trattamento dei metadati di posta elettronica e di navigazione in Internet è stato altresì effettuato in assenza di una preliminare valutazione d’impatto (DPIA - prevista dall’art. 35 GDPR). Al riguardo, il Garante ha rilevato che la raccolta sistematica dei metadati e dei log di navigazione riconducibili a singoli dipendenti, presentavano caratteristiche di intrusività significative tali da richiedere obbligatoriamente la predisposizione di una DPIA.
il sistema di ticketing informatico conservava log delle attività per un periodo indefinito. Anche se non finalizzati al controllo dei lavoratori, tali dati potevano ricondursi a singole attività lavorative, contribuendo alla creazione di profili comportamentali. In assenza di una chiara delimitazione delle finalità e di tempi di conservazione, il Garante ha ritenuto il trattamento non conforme ai principi di minimizzazione e limitazione della conservazione.
relativamente all’uso del sistema destinato alla gestione dei ticket, non erano stati implementati accordi per la nomina dei fornitori a responsabili del trattamento, violando in questo modo i requisiti stabiliti dall’art. 28 GDPR.
Alla luce di quanto emerso dal Provvedimento, risulta dunque fondamentale prendere atto di un nuovo scenario che comporta adempimenti da attuare rapidamente:
verificare e se necessario rivedere i tempi di conservazione dei metadati, dei log di navigazione e di tutti i dati derivanti dall’uso di strumenti informatici da parte dei dipendenti, valutando anche le esigenze di sicurezza e la possibilità di intervenire sui sistemi informatici in uso;
valutare la necessità di attivare le garanzie previste dallo Statuto dei lavoratori, come accordi sindacali o autorizzazioni, oppure di documentare le ragioni, se presenti, che giustifichino l’inapplicabilità di tale obbligo;
predisporre (o aggiornare) le valutazioni d’impatto per i trattamenti di dati connessi alle politiche di lavoro agile e all’uso di strumenti informatici;
verificare la corretta formalizzazione delle nomine ex art. 28 GDPR per tutti i fornitori che trattano dati per conto dell’organizzazione, con attenzione ai contratti attualmente in essere;
aggiornare la documentazione privacy (registro dei trattamenti, informative, policy interne, procedure operative, regolamenti);
valutare le misure di sicurezza applicate, come la cifratura dei dispositivi, i processi di access management, il tracciamento dei log, la protezione dei terminali.
lo scenario attuale, al quale si è arrivati dopo un lungo percorso di avvicinamento, determina una situazione nuova, ancorché prevedibile, e richiede adempimenti che non sono mai stati presi in considerazione dall'ispettorato del lavoro in relazione ai sistemi informatici citati. Le difficoltà applicative sono accentuate dal fatto che gli ispettorati territoriali del lavoro non sono attualmente organizzati per valutare le istanze e autorizzare tali trattamenti, tuttavia l'obbligo va considerato cogente, anche alla luce delle conseguenze ipotizzabili.
In caso di mancanza dell'autorizzazione descritta, il datore di lavoro può essere sanzionato penalmente con l'arresto da 15 giorni ad un anno o con l'ammenda da 154 a 1.549 euro.
Allo stato attuale è necessario provvedere agli adempimenti autorizzativi, non più procrastinabili.
COMMENTO
Negli ultimi mesi si sono susseguiti un gran numero di provvedimenti del Garante Privacy che hanno inciso profondamente sull’organizzazione aziendale e sull’interpretazione di adempimenti normalmente sottovalutati.
In particolare, il Garante ha sanzionato titolari del trattamento (aziende) colpevoli di aver omesso di richiedere l'autorizzazione dell’Ispettorato del Lavoro (o l’accordo sindacale) per un gran numero di sistemi tecnologici che, anche astrattamente o indirettamente, possono consentire il controllo a distanza dei lavoratori. Oltre alla sanzione del Garante, le aziende sanzionate sono state segnalate all'ispettorato per la violazione dell'art 4 dello statuto dei lavoratori, con conseguente applicazione di ulteriori sanzioni di carattere penale. Uno scenario decisamente preoccupante.
Tradizionalmente, tali adempimenti sono presi in considerazione solo per sistemi di videosorveglianza, geolocalizzazione e poco altro.
Il Garante ha contestato l'illiceità di altri sistemi, normalmente non considerati rilevanti per il controllo a distanza, quali:
Telepass o dispositivi di pagamento pedaggio o spese
Backup e conservazione dei file e della posta elettronica
Log dei metadati dei sistemi di comunicazione come le E-mail, log di sistemi informatici
Molti altri sistemi comunemente in uso ricadono nella definizione e nell'applicazione dei regimi autorizzativi.
Gli strumenti di uso comune che necessitano degli adempimenti previsti dal GDPR e dallo Statuto dei Lavoratori sono molti di più:
• rendicontazione transiti telepass o viacard
• black box di assicurazioni o di sistemi antifurto evoluti
• sistemi di pagamento elettronico, incluse le tessere carburante, carte di credito aziendali ecc
• smartphone e tablet per il personale viaggiante
• badge o codice personale per apertura porte, sblocco sistemi, cancelli e box con apertura a badge o a codice personale
• macchinette con chiavette elettroniche come distributori di caffè, merende e bibite
• fotocopiatrici, stampanti scanner multifunzione con codice utente individuale o con reportistica d'uso
• lockbox o sistemi di deposito e prelievo oggetti
• centralino telefonico digitale (che registra localmente le chiamate entranti, uscenti, durata, interni utilizzati, ecc.).
• sistemi di registrazione audio/video (es. centralini di callcenter, verifica identità dei clienti o utenti, stipula o attivazioni a distanza)
• codici o badge individuali per inserimento comande (tipici dei terminali nei ristoranti)
• Gestionali che tracciano l'attività di ogni operatore scrivendo una riga di dati in un log e registrino anche solo i metadati per ogni operazione effettuata anche se riguarda movimentazione di merci o prodotti
• CRM (come Salesforce), ERP (come SAP), PIM, AMS, TMS, ecc
• Piattaforme operative web based con logging degli accessi e delle operazioni compiute: CMS, LMS e sistemi Elearning, ecc
• qualsiasi file di office automation con journaling (MS Word, per esempio, ma vale per la maggior parte dei word processors e dei software che permettono gli "undo", le revisioni o che storicizzano le modifiche)
• sistemi di lavoro collaborativo (che tracciano le modifiche e le revisioni per poterle integrare)
• DNS
• sistemi di sicurezza che filtrano i contenuti indesiderati e che, necessariamente, verificano i contenuti in transito sulla rete e verso internet
• sistemi di reportistica dell'attività lavorativa diversi dalla mera timbratura delle presenze
• veicoli connessi, gestiti con app o con portale o con telemetria. Sono veicoli di ultima generazione, auto elettriche e simili.
• gestione flotte, sistemi di sicurezza antirapina, sistemi di chiamata soccorso con localizzazione, ecc
• Sistemi di assistenza in caso di guasto o incidente e localizzazione di veicoli in generale.
• strumenti di lavoro e diagnostica connessi, predisposti per invio di dati in remoto, tipico del settore medicale per l’effettuazione di analisi con refertazione a distanza e del settore dell'assistenza tecnica per la diagnostica o reportistica.
• macchina fotografica digitale, se in dotazione per registrare fatti eventi lavori ecc. se registra metadati inclusa la localizzazione della foto
• tutti i sistemi di messaggistica che gestiscono condivisione posizione o ricevute lettura e generano metadati. Ricordo sempre volentieri che usare whatsapp o telegram per lavoro è veramente una pessima idea.
-- -- --
Il webinar ha come argomento principale l'individuazione dei sistemi tecnologici in uso sul lavoro, la definizione degli adempimenti necessari, la predisposizione di un piano di intervento per la loro conformità e legittimità di uso.
-- -- --
Inoltre, recentemente sono stati approvati i codici di condotta di rilevanti settori industriali:
informazioni commerciali (callcenter)
programmazione e sviluppo software gestionale
Inoltre, il Garante Francese (CNIL) ha pubblicato le linee guida per lo sviluppo di APP per dispositivi mobili.
In breve, si può dire che molti temi caldi debbano essere rapidamente affrontati, prima che si conclamino situazioni riconducibili a violazioni accertate del GDPR.
Tutti questi argomenti sono stati trattati nel
Webinar applicativo dedicato alle
"Tecnologie in uso sul lavoro che richiedono adempimenti autorizzativi e di compliance al GDPR"
