Home
6 febbraio 2024
Dal Garante Privacy nuove tutele per le email dei dipendenti
Maggiori tutele per i dati raccolti nelle infrastrutture centralizzate per le intercettazioni; negata la cancellazione di un articolo dall'archivio online di un quotidiano; sanzionati 4 Comuni per la mancata comunicazione del RPD: queste sono alcune delle questioni trattate dal Garante Privacy con la newsletter n. 517 del 6 febbraio 2024.
La Redazione
Dal Garante nuove tutele per le email dei dipendenti
I datori di lavoro pubblici e privati che utilizzano programmi forniti anche in modalità cloud per la gestione della posta elettronica, da oggi hanno a disposizione nuove indicazioni utili a prevenire trattamenti di dati in contrasto con la disciplina sulla privacy e le norme che tutelano la libertà e la dignità dei lavoratori.
Il GPDP ha adottato un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati.
Il documento nasce a seguito di accertamenti effettuati dall'Autorità dai quali è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare i metadati relativi all'utilizzo degli account di posta elettronica dei dipendenti.
Con il documento odierno il Garante Privacy chiede ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione ad un massimo di 7 giorni, estensibili di altre 48 ore in caso di esigenze particolari.
Intercettazioni: maggiori tutele per i dati nelle infrastrutture centralizzate
Il Garante è favorevole allo schema di decreto del Ministero della Giustizia riguardante i requisiti tecnici per la gestione dei dati personali raccolti dalle infrastrutture digitali centralizzate per le intercettazioni. L'Autorità ha però chiesto che venissero implementate ulteriori misure a tutela delle persone coinvolte nelle attività di captazione.
Le infrastrutture digitali centralizzate o “interdistrettuali” sono state istituite lo scorso agosto e sono destinate non solo a ospitare il relativo archivio, ma anche a consentire la realizzazione delle operazioni captative. La loro creazione mira ad assicurare maggiori livelli di sicurezza ed efficienza nelle attività di intercettazione.
Lo schema dell'odierno Decreto attuativo sottoposto all'Autorità definisce i requisiti per la memorizzazione e la trasmissione da parte della Polizia giudiziaria al PM di registrazioni e verbali, al fine di assicurarne l'autenticità, l'integrità e la riservatezza.
Il Garante, nel dare il proprio parere favorevole, ha indicato alcune misure tecniche ed organizzative che dovranno essere integrate per rafforzare le garanzie di sicurezza e trasparenza.
In particolare, le disposizioni dovranno prevedere procedure di autenticazione a più fattori per l'accesso alle infrastrutture digitali, meccanismi di tracciamento delle operazioni effettuate e alert per segnalare eventuali anomalie.
Queste misure dovranno essere riesaminate e aggiornate periodicamente, sulla base di una valutazione d'impatto che il Ministero della Giustizia dovrà trasmettere all'Autorità, in modo da garantire un livello di sicurezza proporzionato ai potenziali rischi.
Il Garante nega la cancellazione di un articolo dall'archivio online di un quotidiano
Una donna si era rivolta al Garante Privacy per far cancellare i propri dati personali da un articolo conservato nell'archivio online di un editore di un quotidiano nazionale.
L'autorità ha ritenuto infondato il reclamo della donna e ha precisato che l'archivio online di un giornale svolge un'importante funzione per la ricostruzione storica degli eventi che si sono verificati nel tempo.
Secondo la donna le informazioni contenute nell'articolo erano pregiudizievoli e non più attuali dal momento che riguardavano una vicenda giudiziaria per la quale era stata condannata, peraltro senza riportare i successivi sviluppi. L'interessata aveva infatti scontato la pena detentiva di quattro anni cui era stata condannata.
L'Autorità ha spiegato che la conservazione dell'articolo all'interno dell'archivio online dell'editore risponde ad una legittima finalità di archiviazione di interesse storico-documentaristico che è prevista dal Regolamento europeo che stabilisce specifici limiti al potere di esercitare il diritto di cancellazione.
L'Autorità ha ingiunto all'editore di adottare misure tecniche idonee ad inibire l'indicizzazione dell'articolo da parte di motori di ricerca esterni al sito del quotidiano.
Sanzionati 4 Comuni per la mancata comunicazione del RPD
Il GPDP ha concluso la prima fase dell'indagine avviata per verificare il rispetto dell'obbligo di comunicazione all'Autorità dei dati di contatto del Responsabile della protezione dei dati con l'adozione di 4 provvedimenti sanzionatori nei confronti di Enti locali.
Il Garante ha comminato, per la mancata comunicazione del RPD, a tre enti locali una sanzione di 2mila euro ciascuno, mentre al quarto ha applicato una sanzione di 5mila euro, maggiorata poiché l'inadempimento ha riguardato la nomina di due RPD.
In tutti i provvedimenti sanzionatori il Garante ha ricordato che, per essere in linea con il Regolamento Ue, se il titolare del trattamento dei dati personali è un soggetto pubblico è obbligato a designare un RPD e a comunicarne i dati di contatto al GPDP, mediante l'apposita procedura messa a disposizione dall'Autorità sul suo sito.
L'obbligo della comunicazione, previsto nel Regolamento Ue, mira a garantire la possibilità per l'Autorità di garanzia di contattare in modo facile e diretto il RPD.
Documenti correlati
