Tag: garante

Garante Privacy: limite di sette giorni per la conservazione dei metadati delle e-mail dei dipendenti

Con il documento di indirizzo 9978728 denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (scarica qui) in data 21.12.2023 il Garante per la protezione dei dati personali è intervenuto a stabilire il limite di durata della conservazione dei c.d. metadati delle email dei dipendenti.

Tale provvedimento è stato assunto sul presupposto del rischio che programmi  e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email), conservando gli stessi per un esteso arco temporale.

Sulla base di tale considerazione, il Garante ha ricordato che, in attuazione del principio di “responsabilizzazione” (cfr. art. 5, par. 2, e 24 del Regolamento), spetta al titolare valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche – in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalità perseguite – che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali (cfr. cons. 90 e artt. 35 e 36 del Regolamento).

Sempre secondo il Garante, tale necessità ricorre, in particolare, in caso di raccolta e memorizzazione dei metadati relativi all’impiego della posta elettronica, stante la particolare “vulnerabilità” degli interessati nel contesto lavorativo, nonché il rischio di “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti”.

Alla luce delle disposizioni richiamate, l’attività di raccolta e conservazione dei soli c.d. metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, per un tempo che, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione – affinché sia ritenuto applicabile il comma 2 dell’art. 4 della L. n. 300/1970 – non può essere superiore di norma a poche ore o ad alcuni giorni,  in ogni caso non oltre sette giorni,  estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore.

Diversamente, la generalizzata raccolta e la conservazione di tali metadati, per un lasso di tempo più esteso – ancorché sul presupposto della sua necessità per finalità di sicurezza informatica e tutela dell’integrità del patrimonio, anche informativo, del datore di lavoro -, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta l. n. 300/1970. Resta fermo che anche tale conservazione dovrà avvenire nel rispetto del principio di limitazione della conservazione.

In ragione di tale limitazione si rende quindi necessario valutare di:

  • intervenire nelle informativa privacy per i dipendenti, indicando specificamente il periodo di conservazione dei dati applicabile;
  • eseguire una DPIA (valutazione di impatto) sui diritti fondamentali degli interessati per la prosecuzione nel trattamento dei dati,
  • eseguire un test di bilanciamento laddove si invochi che la conservazione dei dati si basi su un interesse legittimo,
  • aggiornare le policy in tema di retention e conservazione dei dati;
  • addivenire a un accordo espresso con le rappresentanze sindacali o, in mancanza di queste, con l’Ispettorato Territoriale del Lavoro.

Scarica qui il documento di indirizzo citato e la nostra newsletter sul punto.

27 luglio 2022, stop al telemarketing: il Registro delle Opposizioni

registro delle opposizioniNegli ultimi anni è cresciuto a dismisura il fenomeno delle telefonate da parte degli operatori di telemarketing.

Spesso voci registrate, ma anche operatori di svariati settori commerciali (energie e telefonia soprattutto).

Il blocco dei numeri non sempre porta risultati concreti sia per la modifica continua dei numeri chiamanti, sia per la ricezione di chiamate da numeri sconosciuti.

Già dal 2010 esiste uno servizio volto ad arginare questi fenomeni: il Registro Pubblico delle Opposizioni o RPO, istituito con DPR 178/2010, col fine di offrire agli utenti la possibilità di opporsi all’utilizzo del proprio numero per fini di marketing.

Con l’art. 1 comma 54 della Legge 124/2017 regolamentata dal DPR n. 149/2018, il Registro è stato inoltre esteso anche alle comunicazioni cartacee.

In sostanza il Registro costituisce una lista di numeri verso i quali gli operatori commerciali non possono effettuare chiamate per finalità commerciali.

Se un numero è registrato nel Registro, un’azienda, o un call center, non potrà usarlo per proporre prodotti o promozioni o servizi.

Qualora lo utilizzasse, commetterebbe una violazione del diritto di opposizione ex art. 21 del Regolamento UE 2016/679 (GDPR), con la conseguente applicazione delle sanzioni di cui all’art. 83 della medesima normativa.

La legge 5/2018, prendendo atto che ormai le telefonate insistenti si sono spostate prevalentemente sui telefoni cellulari, estende l’applicazione del Registro pubblico delle opposizioni a tutti i numeri privati, compresi quelli mobili.

Può essere iscritto al Registro qualsiasi numero, anche se non presente in un elenco pubblico.

Il regolamento attuativo (DPR 26/2022 pubblicato nella Gazzetta Ufficiale n. 74 del 29 marzo 2022), ha stabilito l’entrata in vigore della nuova normativa nei 120 giorni dalla sua pubblicazione, e dunque al 27 luglio 2022.

Oltre alla possibilità di iscrivere gratuitamente nel registro tutti i numeri di cellulare, le nuove disposizioni prevedono anche l’inclusione in automatico di tutti i numeri fissi che non risultano iscritti nell’elenco telefonico pubblico. L’iscrizione nel registro cancella automaticamente tutti i consensi dati in precedenza, e a partire da quindici giorni dall’iscrizione al registro, le telefonate a fini commerciali a quell’utenza sono considerate illegali.

Il sito del RPO indica tutte le modalità di iscrizione (via web, via mail, via telefono, via fax o tramite lettera raccomandata), in ogni caso sempre gratuita.

Scarica qui la nostra newsletter sul punto.

Vaccinazione e luoghi di lavoro

garante e vaccinazioni

Presa di posizione del Garante della Privacy in tema di vaccinazione e trattamento dei dati di personali sui luoghi di lavoro.

Nelle FAQ del sito del GPDP sono stati affermati i seguenti principi:

  • il datore di lavoro non può chiedere ai propri dipendenti di fornire informazioni sul proprio stato vaccinale o copia di documenti che comprovino l‘avvenuta vaccinazione anti Covid-19. Ciò non sarebbe consentito dalle disposizioni dell’emergenza e dalla disciplina in materia di tutela della salute e sicurezza nei luoghi di lavoro. Nemmeno il consenso del lavoratore abiliterebbe a tale richiesta.
  • il medico competente non può comunicare al datore di nominativi dei dipendenti vaccinati. Il datore di lavoro avrebbe diritto ad avere copia dei soli certificati di idoneità alla mansione dei propri dipendenti;
  • in attesa di un intervento legislativo che imponga la vaccinazione come requisito necessario per lo svolgimento di determinate mansioni lavorative, solo il medico competente nella sua funzione di raccordo tra il sistema sanitario nazionale/locale e lo specifico contesto lavorativo e nel rispetto delle indicazioni fornite dalle autorità sanitarie anche in merito all’efficacia e all’affidabilità medico-scientifica del vaccino, può trattare i dati personali relativi alla vaccinazione dei dipendenti e, se del caso, tenerne conto in sede di valutazione dell’idoneità alla mansione specifica.

Clicca qui per leggere le FAQ del sito GPDP.

Covid-19 e protezione dei dati

Il Garante per la protezione dei dati personali in questo periodo di emergenza epidemiologica ha intensificato l’adozione di provvedimenti, comunicati e audizioni.
E’ innegabile infatti che la problematica del Coronavirus coinvolga particolari categorie di dati (i c.d. dati sensibili) e in particolar modo i dati relativi alla salute.
Accanto alla necessità di tutela di questi dati vi è anche la necessità di protezione dei cittadini.
Spesso questi due diritti incontrano momenti di frizione, con conseguente necessità di contemperare le due esigenze.
Sul sito del Garante sono stati pubblicati, in maniera organizzata:
provvedimenti, comunicati, audizioni, interventi, interviste e altri documenti;
le principali disposizioni adottate in relazione allo stato di emergenza epidemiologica da Covid-19 aventi implicazioni in materia di protezione dei dati personali.
Tra questi anche la lettera del garante al Ministro della Giustizia sul processo penale da remoto.
Le pagine sono in costante aggiornamento.
Clicca sopra per accedere direttamente al sito del garante e visionare il materiale.