Categorie
Privacy

Metadati

Il Garante privacy, con il Provvedimento del 21 dicembre 2023, n.642, aveva iniziato a fornire delle Linee Guida per i Datori di Lavoro pubblici e privati, sulla gestione della posta elettronica dei dipendenti e collaboratori.

Con il nuovo Provvedimento del 6 giugno 2024, n. 364, il Garante afferma che i metadati “non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate” e che tecnicamente si tratta di informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica e dalle postazioni client.

I metadati includono perciò: indirizzi e-mail di mittente e destinatario, indirizzi IP dei server o client coinvolti, orari di invio, ritrasmissione o ricezione, dimensione del messaggio, presenza e dimensione di eventuali allegati e, a volte, l’oggetto del messaggio.

Si tratta di dati registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla (manifestazione di) volontà dell’utente, e non vanno in alcun modo confusi con il contenuto del corpus del messaggio di testo/e-mail.

Sempre il Garante spiega come questi metadati siano in grado di formare il cosiddetto “envelope”, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici. Il Garante conclude dicendo come dette informazioni “ancorché corrispondenti a metadati registrati automaticamente nei log dei servizi di posta, sono inscindibili dal messaggio di cui fanno parte integrante e che rimane sotto l’esclusivo controllo dell’utente”.

Le informazioni dell’envelope sono inseparabili dall’email di cui ne costituiscono parte integrante, ma rimangono sotto il controllo esclusivo dell’utente, sia esso il mittente o il destinatario dei messaggi.

Circa l’applicabilità del comma II dell’art. 4 della L. n. 300/1970 o Statuto dei Lavoratori, la raccolta e conservazione dei metadati/log necessari per il funzionamento del sistema di posta elettronica è consentita per un periodo limitato a pochi giorni, e comunque non oltre i 21 giorni, salvo dimostrati casi particolari.

Dovendo assicurare il funzionamento delle infrastrutture del sistema della posta elettronica e, quindi, sempre nell’ambito della stessa finalità, l’eventuale data retention per un tempo ancora più ampio è possibile, ma solo in presenza di “particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente, in applicazione del principio di accountability, […] le specificità della realtà tecnica e organizzativa del titolare” e spetta al titolare, in caso di un’estensione ulteriore di 48 ore, “adottare tutte le misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati”.

Il Garante conclude che la raccolta e la conservazione generalizzata dei metadati dei log di posta elettronica per un periodo di tempo prolungato, anche se motivata dalla necessità di garantire la sicurezza informatica e tutelare l’integrità del patrimonio del datore di lavoro, si configura come un controllo a distanza indiretto dell’attività dei lavoratori. Questo tipo di controllo richiede senza dubbio l’adozione delle garanzie previste dall’art. 4, comma I, dello Statuto dei Lavoratori.

Nel caso di privacy by design e by default, si ritiene che il datore di lavoro/titolare del trattamento debba accertarsi che siano disattivate le funzioni che non sono compatibili con le finalità del trattamento o che si pongono in contrasto con specifiche norme di settore previste dall’ordinamento, specialmente in ambito lavorativo. Ad esempio, ciò potrebbe comportare la necessità di adeguare i tempi di conservazione dei dati o di chiedere al fornitore del servizio di anonimizzare i metadati raccolti, nei casi in cui non si intenda effettuare una conservazione più prolungata degli stessi.

La stessa dinamica si deve applicare anche ai produttori dei servizi e delle applicazioni, i quali devono tenere conto del diritto alla protezione dei dati conformemente allo stato dell’arte. Ne consegue che anche i fornitori devono contribuire a far sì che i titolari del trattamento possano adempiere ai loro obblighi di protezione dei dati, contemperando le esigenze di commercializzazione su larga scala dei propri prodotti con la conformità al GDPR.

In tale prospettiva, saranno i produttori dei servizi e delle applicazioni, in fase di sviluppo e progettazione degli stessi, a dover tenere conto del diritto alla protezione dei dati tenuto conto dello stato dell’arte.

I datori di lavoro pubblici e privati dovranno adottare tutte le misure necessarie per conformare i propri trattamenti. In particolare, spetterà al titolare del trattamento verificare con la dovuta diligenza che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti consentano all’utente/cliente, ossia al datore di lavoro, di poter modificare le impostazioni di default, impedendo la raccolta dei metadati o limitandola. Questo deve essere fatto tenendo conto del periodo massimo di conservazione previsto per i metadati.
Categorie
Privacy

Concorsi della P.A. – online solo le graduatorie definitive dei vincitori.

Con la Newsletter del giorno 06 Giugno 2024, il Garante Privacy si è espresso in materia di Concorsi della P.A. sancendo che questa sia autorizzata a pubblicare online solo le graduatorie definitive dei vincitori.

Tale decisione è stata adottata a seguito di un reclamo presentato da un partecipante ad un concorso pubblico, a 1858 posti, di consulente protezione sociale nei ruoli del personale dell’INPS.

Il reclamante aveva lamentato la pubblicazione sul sito web dell’Istituto di numerosi atti e documenti, tra cui gli elenchi degli ammessi e non ammessi alla prova scritta e prova orale e l’elenco dei partecipanti, contenente la valutazione dei titoli da parte della Commissione di concorso, con l’indicazione del punteggio attribuito a ciascun candidato. Tali documenti sarebbero poi finiti anche sui social network ad opera di terzi.

Il Garante è intervenuto ricordando che la disciplina della protezione dei dati personali prevede che i soggetti pubblici, anche quando operino nello svolgimento di procedure concorsuali, selettive o comunque valutative, prodromiche all’instaurazione del rapporto di lavoro, possono trattare i dati personali degli interessati (art. 4, n. 1, G.D.P.R.) se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento”. Per tale motivo, pubblicare sul web gli esiti delle prove intermedie o i dati personali dei concorrenti non vincitori o non ammessi ad un concorso è una violazione della privacy.

In conclusione, quando svolgono procedure concorsuali, le amministrazioni devono trattare i dati personali dei partecipanti in conformità con le normative vigenti, il che significa che non è consentito pubblicare online dati dei partecipanti non previsti dalla legge. Non sono ammessi livelli di tutela della privacy differenziati, né in base al territorio né tra diverse amministrazioni, soprattutto quando il legislatore ha già stabilito regole uniformi a livello nazionale.
Categorie
Privacy Senza categoria

Nuovo accordo sul trasferimento dei dati verso gli Stati Uniti “EU-US Data Privacy Framework” –

Siti Web che utilizzano Google Analytics

Con la pubblicazione della nuova decisione di adeguatezza del 10 luglio 2023 la Commissione Europea ha ufficialmente approvato il nuovo accordo sul trasferimento dei dati verso gli Stati Uniti “EU-US Data Privacy Framework”.

Con tale accordo è stata riconosciuta la sussistenza di sufficienti garanzie per la protezione dei dati personali dei cittadini dell’UE trattati nel territorio statunitense, nonché tutele legali che insieme ai nuovi parametri sono in grado di limitare l’invasivo operato delle agenzie di intelligence Usa.

Anche se si tratta di una buona notizia per le aziende che per svolgere le loro attività necessitano di poter trasferire lecitamente dati personali negli Usa, non è ancora chiaro se questa nuova decisione di adeguatezza potrà reggere.

Infatti, a maggio 2023, lo stesso Parlamento Europeo aveva ritenuto che le misure Usa fossero insufficienti per garantire la protezione dei dati degli europei invitando la Commissione Ue a riaprire i negoziati. Inoltre appare altamente probabile che venga proposto ricorso alla Corte di Giustizia dell’Ue da parte dell’organizzazione fondata dall’attivista Max Schrems, noto per le due sentenze della suprema Corte europea che portano il suo cognome, sentenze che, a suo tempo, avevano già invalidato i due precedenti accordi che regolavano il trasferimento dei dati verso gli Usa (prima il Safe Harbor e poi il Privacy Shield).
Categorie
Privacy 231 ODV

Whistleblowing e Valutazione d’Impatto (DPIA) – Modelli Organizzativi ex D.Lgs 231/2001 e Privacy

In data 15 marzo 2023 è stato pubblicato in Gazzetta Ufficiale il Decreto Legislativo 24/2023 (Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali).

Tale normativa allarga il perimetro di applicazione della disciplina in materia di whistleblowing (in precedenza limitato alle sole imprese dotate di modello organizzativo, ai sensi del D.lgs. 231/2001) ed introduce le c.d. “segnalazioni esterne”. L’ANAC, Autorità Nazionale Anticorruzione, diventa l’unico soggetto competente a valutare tali segnalazioni e l’eventuale applicazione delle sanzioni amministrative, sia per quanto riguarda il settore pubblico che per il settore privato.

Tra le varie previsioni introdotte da tale normativa, in tema di tutela dei dati personali (Privacy), è stato previsto l’obbligo, a carico dei soggetti che devono predisporre canali di segnalazioni interni a disposizione dei whistleblower, di dar corso ad una valutazione d’impatto ai sensi dell’art. 35 del Regolamento 2016/679 (GDPR).

Tra i soggetti obbligati ad applicare tale Decreto Legislativo figurano, tra gli altri, le imprese private:

  • che hanno impiegato, nell’ultimo anno, la media di almeno 50 lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
  • che rientrano nell’ambito di applicazione degli atti dell’Unione Europea, soprattutto in materia di protezione del risparmio, anche se nell’ultimo anno non hanno raggiunto questa media di lavoratori subordinati;
  • che hanno adottato Modelli di organizzazione ai sensi del D.Lgs. n. 231/2001 e che hanno nominato un Organismo di Vigilanza (O.d.V.);

A questi si aggiungono i soggetti del settore pubblico ed altri soggetti previsti all’articolo 1 del D.Lgs. 24/2023.

Le disposizioni del Decreto Legislativo n.24/2023 avranno effetto:

  • a decorrere dal 15 luglio 2023 per tutti i soggetti, con la seguente eccezione di seguito riportata;
  • a decorrere dal 17 dicembre 2023 (obbligo di istituzione del canale di segnalazione interna) per i soggetti del settore privato che abbiano impiegato, nell’ultimo anno, una media di lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, fino a 249.

Si allega alla presente uno schema riepilogativo dei principali adempimenti.

DOCUMENTI DI SENTESI DEI PRINCIPALI ADEMPIMENTI EX D.LVO 24/2023

Adempimenti principali:

  • individuare e valutare idonee soluzioni organizzative mediante la definizione della governance del processo di gestione delle segnalazioni,
  • affidare la gestione del canale di segnalazione a una persona o a un ufficio interno autonomo con personale formato per la gestione del canale di segnalazione, ovvero ad un soggetto esterno, anch’esso autonomo e con personale adeguatamente formato;
  • garantire al whistleblower la trasparenza del processo;
  •  svolgere corsi di formazione periodica in materia di whistleblowing;
  • definire le modalità operative in cui si articola il processo di gestione delle segnalazioni;
  • regolamentare il processo di analisi e gestione delle segnalazioni ricevute;
  • implementare un canale interno per la gestione delle segnalazioni e stabilire idonee modalità di tutela del segnalante, quali misure tecniche che garantiscano la riservatezza della identità del whistleblower, delle persone coinvolte, nonché del contenuto della segnalazione (ad. es. con sistemi di pseudonimizzazione);
  • implementare procedure e policy ad hoc che permettano la gestione anche delle segnalazioni pervenute mediante canali diversi da quello informatizzato (es. incontri in presenza, a mezzo del telefono);
  • aggiornare il registro dei trattamenti procedendo con l’analisi e l’individuazione delle misure previste dal GDPR (Privacy);
  • effettuare la Valutazione d’Impatto (DPIA) ex art. 35 del GDPR;
  • prevedere nelle elaborande procedure che venga dato riscontro alla segnalazione entro il termine di tre mesi dalla data dell’avviso di ricevimento o, in mancanza di tale avviso, entro tre mesi dalla scadenza del termine di sette giorni dalla presentazione della segnalazione;
  • fornire contestualmente a tutti gli interessati la informativa ex art. 13 GDPR in materia di protezione dei dati personali.

Adempimenti principali in materia di trasparenza:

  • condividere informazioni chiare ed accessibili in merito alle procedure, al canale individuato e ai presupposti per procedere con la segnalazione interna;
  • condividere informazioni chiare ed accessibili in merito alle procedure e ai presupposti per effettuare segnalazioni esterne;
  • assicurarsi che dette informazioni siano rese facilmente visibili nei luoghi di lavoro, nonché accessibili anche ai soggetti legali all’azienda che però non frequentano abitualmente il luogo di lavoro;
  • garantire che dette informazioni vengano pubblicate nel sito web dell’azienda nel caso in cui la stessa ne possieda uno;
  •  comunicare al segnalante la presa in carico della segnalazione, mediante “avviso di ricevimento” da rilasciare entro sette giorni dalla ricezione;

Sanzioni previste:

  •  fermi restando gli altri profili di responsabilità, l’ANAC può comminare sanzioni amministrative pecuniarie fino a euro 50.000, nei seguenti cari:
  • non è stata svolta l’attività di verifica e analisi delle segnalazioni ricevute,
  • non sono stati istituiti canali di segnalazione,
  • non sono state adottate procedure per l’effettuazione e la gestione delle segnalazioni,
  • l’adozione di tali procedure non è conforme a quelle previste dal decreto,
  • la segnalazione è stata ostacolata o vi è stato un tentativo in tal senso;
  • è stato violato l’obbligo di riservatezza.
  • sono state commesse ritorsioni.
Categorie
News Privacy

Novità in materia di Green Pass

Cervignano del Friuli, 25 novembre 2021

Oggetto: Novità in merito al Green Pass obbligatorio nei luoghi di lavoro.

La presente per comunicare che, con la Legge n. 165 del 19.11.2021, è stato convertito il Decreto Legge n. 127 del 21.09.2021, denominato “Misure urgenti per assicurare lo svolgimento in sicurezza del lavoro pubblico e privato mediante l’estensione dell’ambito applicativo della certificazione verde COVID-19 e il rafforzamento del sistema di screening”.

Con tale Legge di conversione

dal 21 novembre 2021

sono entrate in vigore rilevanti novità che vanno ad integrare le esistenti previsioni normative e che trovate di seguito suddivise tra settore pubblico e privato.

SETTORE PRIVATO

• Ai soggetti sottoposti alle verifiche da parte dei datori di lavoro, sono stati aggiunti anche i discenti.

• Si specifica che per i lavoratori in somministrazione la verifica del possesso della certificazione verde Covid-19 nonché delle ulteriori documentazioni previste dalla legge, compete all’utilizzatore; ed è onere del somministratore informare i lavoratori circa la sussistenza delle predette verifiche.

• È ora prevista la possibilità, al fine di semplificare e razionalizzare le verifiche, che i lavoratori, possano richiedere di consegnare al proprio datore di lavoro copia della propria certificazione verde Covid-19. I lavoratori che consegnano detta certificazione, per tutta la durata della relativa validità di questa, sono esonerati dai controlli da parte dei rispettivi datori di lavoro.

• E’ previsto che le imprese con meno di quindici dipendenti, dopo il quinto giorno di assenza ingiustificata dovuta al mancato possesso di certificazione verde Covid-19 nonché delle ulteriori documentazioni previste dalla legge, il datore di lavoro possa sospendere il lavoratore per la durata corrispondente a quella del contratto di lavoro stipulato per la sostituzione, comunque per un periodo non superiore a dieci giorni lavorativi, rinnovabili fino al 31 dicembre 2021, senza conseguenze disciplinari e con diritto alla conservazione del posto di lavoro per il lavoratore sospeso.

• La scadenza della validità della certificazione verde Covid-19 in corso di prestazione lavorativa non dà luogo alle sanzioni previste dalla legge. In tali casi, la permanenza del lavoratore sul luogo di lavoro è consentita esclusivamente per il tempo necessario a portare a termine il turno di lavoro.

• Al fine di garantire il più elevato livello di copertura vaccinale e al fine di proteggere, in modo specifico, i soggetti a rischio, fino alla data di cessazione dello stato di emergenza, i datori di lavoro pubblici e privati possono promuovere campagne di informazione e sensibilizzazione sulla necessità e sull’importanza della vaccinazione anti-SARS-CoV-2. Le campagne di informazione sono dirette alla tutela della salute dei dipendenti e al contrasto e al contenimento della diffusione dell’infezione da SARS-CoV-2 negli ambienti di lavoro.
Per tale finalità i datori di lavoro si avvalgono del medico competente nominato ai sensi dell’articolo 18, comma 1, lettera a), del decreto legislativo 9 aprile 2008, n. 81.