Tag: privacy

Garante Privacy: limite di sette giorni per la conservazione dei metadati delle e-mail dei dipendenti

Con il documento di indirizzo 9978728 denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (scarica qui) in data 21.12.2023 il Garante per la protezione dei dati personali è intervenuto a stabilire il limite di durata della conservazione dei c.d. metadati delle email dei dipendenti.

Tale provvedimento è stato assunto sul presupposto del rischio che programmi  e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email), conservando gli stessi per un esteso arco temporale.

Sulla base di tale considerazione, il Garante ha ricordato che, in attuazione del principio di “responsabilizzazione” (cfr. art. 5, par. 2, e 24 del Regolamento), spetta al titolare valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche – in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalità perseguite – che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali (cfr. cons. 90 e artt. 35 e 36 del Regolamento).

Sempre secondo il Garante, tale necessità ricorre, in particolare, in caso di raccolta e memorizzazione dei metadati relativi all’impiego della posta elettronica, stante la particolare “vulnerabilità” degli interessati nel contesto lavorativo, nonché il rischio di “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti”.

Alla luce delle disposizioni richiamate, l’attività di raccolta e conservazione dei soli c.d. metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, per un tempo che, all’esito di valutazioni tecniche e nel rispetto del principio di responsabilizzazione – affinché sia ritenuto applicabile il comma 2 dell’art. 4 della L. n. 300/1970 – non può essere superiore di norma a poche ore o ad alcuni giorni,  in ogni caso non oltre sette giorni,  estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore.

Diversamente, la generalizzata raccolta e la conservazione di tali metadati, per un lasso di tempo più esteso – ancorché sul presupposto della sua necessità per finalità di sicurezza informatica e tutela dell’integrità del patrimonio, anche informativo, del datore di lavoro -, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta l. n. 300/1970. Resta fermo che anche tale conservazione dovrà avvenire nel rispetto del principio di limitazione della conservazione.

In ragione di tale limitazione si rende quindi necessario valutare di:

  • intervenire nelle informativa privacy per i dipendenti, indicando specificamente il periodo di conservazione dei dati applicabile;
  • eseguire una DPIA (valutazione di impatto) sui diritti fondamentali degli interessati per la prosecuzione nel trattamento dei dati,
  • eseguire un test di bilanciamento laddove si invochi che la conservazione dei dati si basi su un interesse legittimo,
  • aggiornare le policy in tema di retention e conservazione dei dati;
  • addivenire a un accordo espresso con le rappresentanze sindacali o, in mancanza di queste, con l’Ispettorato Territoriale del Lavoro.

Scarica qui il documento di indirizzo citato e la nostra newsletter sul punto.

27 luglio 2022, stop al telemarketing: il Registro delle Opposizioni

registro delle opposizioniNegli ultimi anni è cresciuto a dismisura il fenomeno delle telefonate da parte degli operatori di telemarketing.

Spesso voci registrate, ma anche operatori di svariati settori commerciali (energie e telefonia soprattutto).

Il blocco dei numeri non sempre porta risultati concreti sia per la modifica continua dei numeri chiamanti, sia per la ricezione di chiamate da numeri sconosciuti.

Già dal 2010 esiste uno servizio volto ad arginare questi fenomeni: il Registro Pubblico delle Opposizioni o RPO, istituito con DPR 178/2010, col fine di offrire agli utenti la possibilità di opporsi all’utilizzo del proprio numero per fini di marketing.

Con l’art. 1 comma 54 della Legge 124/2017 regolamentata dal DPR n. 149/2018, il Registro è stato inoltre esteso anche alle comunicazioni cartacee.

In sostanza il Registro costituisce una lista di numeri verso i quali gli operatori commerciali non possono effettuare chiamate per finalità commerciali.

Se un numero è registrato nel Registro, un’azienda, o un call center, non potrà usarlo per proporre prodotti o promozioni o servizi.

Qualora lo utilizzasse, commetterebbe una violazione del diritto di opposizione ex art. 21 del Regolamento UE 2016/679 (GDPR), con la conseguente applicazione delle sanzioni di cui all’art. 83 della medesima normativa.

La legge 5/2018, prendendo atto che ormai le telefonate insistenti si sono spostate prevalentemente sui telefoni cellulari, estende l’applicazione del Registro pubblico delle opposizioni a tutti i numeri privati, compresi quelli mobili.

Può essere iscritto al Registro qualsiasi numero, anche se non presente in un elenco pubblico.

Il regolamento attuativo (DPR 26/2022 pubblicato nella Gazzetta Ufficiale n. 74 del 29 marzo 2022), ha stabilito l’entrata in vigore della nuova normativa nei 120 giorni dalla sua pubblicazione, e dunque al 27 luglio 2022.

Oltre alla possibilità di iscrivere gratuitamente nel registro tutti i numeri di cellulare, le nuove disposizioni prevedono anche l’inclusione in automatico di tutti i numeri fissi che non risultano iscritti nell’elenco telefonico pubblico. L’iscrizione nel registro cancella automaticamente tutti i consensi dati in precedenza, e a partire da quindici giorni dall’iscrizione al registro, le telefonate a fini commerciali a quell’utenza sono considerate illegali.

Il sito del RPO indica tutte le modalità di iscrizione (via web, via mail, via telefono, via fax o tramite lettera raccomandata), in ogni caso sempre gratuita.

Scarica qui la nostra newsletter sul punto.

Stalking in condominio e videoriprese

videocameraL’art. 615 bis c.p. prevede che “Chiunque mediante l’uso di strumenti di ripresa visiva o sonora, si procura indebitamente notizie o immagini attinenti alla vita privata svolgentesi nei luoghi indicati nell’articolo 614, è punito con la reclusione da sei mesi a quattro anni”.

La S.C. di Cassazione sezione V penale con sentenza 30191/2021 ha incidentalmente trattato la legittimità o meno della ripresa tramite videocamere delle aree condominiali al fine di provare comportamenti di stalking da parte di vicini di casa.

In particolare, la S.C. dopo aver ribadito che le videoregistrazioni effettuate dai privati con telecamere di sicurezza sono prove documentali, acquisibili ex art. 234 cod. proc. pen., sicché i fotogrammi estrapolati da detti filmati ed inseriti in annotazioni di servizio non possono essere considerati prove illegittimamente acquisite e non ricadono nella sanzione processuale di inutilizzabilità, ha dichiarato:

  • che “l’uso di telecamere installate all’interno della propria abitazione, che riprendono l’area condominiale destinata a parcheggio ed il relativo ingresso, non configura la fattispecie di cui all’art. 615bis c.p., trattandosi di luoghi destinati all’uso di un numero indeterminato di persone e, pertanto, esclusi dalla tutela della norma incriminatrice, la quale concerne, sia che si tratti di “domicilio”, di “privata dimora” o “appartenenze di essi”, una particolare relazione del soggetto con l’ambiente in cui egli vive la sua vita privata, in modo da sottrarla ad ingerenze esterne indipendentemente dalla sua presenza (Sez. 5, n. 44701 del 29/10/2008, Caruso, Rv. 242588; Sez. 5, n. 44156 del 21/10/2008, Gottardi, Rv. 241745). Lo stesso principio è stato ribadito quanto alle scale condominiali ed ai pianerottoli, giacché essi non assolvono alla funzione di consentire l’esplicazione della vita privata al riparo di sguardi indiscreti, essendo destinati all’uso di un numero indeterminato di soggetti (Sez. 5, n. 34151 del 30/05/2017, Tinervia, Rv. 270679)”;
  • che in ambito condominiale non è possibile opporre pretese violazioni della normativa sulla privacy, poiché risulta “legittimamente acquisito ed utilizzato ai fini dell’affermazione della responsabilità penale un filmato effettuato con un telefonino ovvero quello eseguito grazie ad un sistema di videosorveglianza a prescindere dalla conformità alla disciplina sulla privacy, la quale non costituisce sbarramento all’esercizio dell’azione penale” (Sez. 5, n. 2304 del 28/11/2014, dep. 2015, Chfouka, Rv. 262686; Sez. 2, n. 6812 del 31/1/2013 , non massimata).

Scarica qui la sentenza integrale.

Vedi anche il nostro post, relativo a un caso conforme del 18.6.2020.

Vaccinazione e luoghi di lavoro

garante e vaccinazioni

Presa di posizione del Garante della Privacy in tema di vaccinazione e trattamento dei dati di personali sui luoghi di lavoro.

Nelle FAQ del sito del GPDP sono stati affermati i seguenti principi:

  • il datore di lavoro non può chiedere ai propri dipendenti di fornire informazioni sul proprio stato vaccinale o copia di documenti che comprovino l‘avvenuta vaccinazione anti Covid-19. Ciò non sarebbe consentito dalle disposizioni dell’emergenza e dalla disciplina in materia di tutela della salute e sicurezza nei luoghi di lavoro. Nemmeno il consenso del lavoratore abiliterebbe a tale richiesta.
  • il medico competente non può comunicare al datore di nominativi dei dipendenti vaccinati. Il datore di lavoro avrebbe diritto ad avere copia dei soli certificati di idoneità alla mansione dei propri dipendenti;
  • in attesa di un intervento legislativo che imponga la vaccinazione come requisito necessario per lo svolgimento di determinate mansioni lavorative, solo il medico competente nella sua funzione di raccordo tra il sistema sanitario nazionale/locale e lo specifico contesto lavorativo e nel rispetto delle indicazioni fornite dalle autorità sanitarie anche in merito all’efficacia e all’affidabilità medico-scientifica del vaccino, può trattare i dati personali relativi alla vaccinazione dei dipendenti e, se del caso, tenerne conto in sede di valutazione dell’idoneità alla mansione specifica.

Clicca qui per leggere le FAQ del sito GPDP.

Covid-19 e protezione dei dati

Il Garante per la protezione dei dati personali in questo periodo di emergenza epidemiologica ha intensificato l’adozione di provvedimenti, comunicati e audizioni.
E’ innegabile infatti che la problematica del Coronavirus coinvolga particolari categorie di dati (i c.d. dati sensibili) e in particolar modo i dati relativi alla salute.
Accanto alla necessità di tutela di questi dati vi è anche la necessità di protezione dei cittadini.
Spesso questi due diritti incontrano momenti di frizione, con conseguente necessità di contemperare le due esigenze.
Sul sito del Garante sono stati pubblicati, in maniera organizzata:
provvedimenti, comunicati, audizioni, interventi, interviste e altri documenti;
le principali disposizioni adottate in relazione allo stato di emergenza epidemiologica da Covid-19 aventi implicazioni in materia di protezione dei dati personali.
Tra questi anche la lettera del garante al Ministro della Giustizia sul processo penale da remoto.
Le pagine sono in costante aggiornamento.
Clicca sopra per accedere direttamente al sito del garante e visionare il materiale.