Author Archives: Legadvance

L’Autorità Garante per la protezione dei dati personali, con newsletter del febbraio scorso ha reso noto di aver adottato un “Documento di indirizzo” volto a fornire nuove indicazioni alla generalità di datori di lavoro sia pubblici che privati, circa l’utilizzo dei metadati (es. giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail) generati dalla corrispondenza e-mail dei propri prestatori di lavoro (doc-web n. 9978728).

Con l’occasione, il Garante è tornato ad occuparsi del corretto utilizzo delle caselle di posta elettronica dei lavoratori, nell’ottica di una più efficace tutela della dignità e libertà degli stessi.

In particolare, il Garante ha ribadito l’obbligo di conformarsi alle garanzie previste dell’art. 4 della L. 300/1970 oltre che agli artt. 5, 6 e 88 del GDPR, al fine di garantire la sussistenza di un idoneo presupposto per la raccolta e conservazione dei metadati, nel rispetto dei principi di privacy by design e by default, sempre offrendo una adeguata informazione/informativa ai prestatori di lavoro, che devono essere consapevoli del tipo di trattamento che coinvolge i propri dati personali.

Alcune perplessità emergono in particolare relativamente a quanto affermato in merito ai tempi di conservazione dei suddetti metadati, che non potranno essere di norma superiori a sette giorni, estensibili di ulteriori 48 ore in presenza di comprovate e documentate esigenze. Nel caso in cui le tempistiche di conservazione dovessero essere maggiori, dovranno allora essere espletate le procedure di garanzia previste dall’art. 4, c. 1 della l. n. 300/1970 quali l’accordo sindacale o l’autorizzazione pubblica. Si evidenzia che detto limite non si applica però ai messaggi di posta elettronica stessi che potrebbero essere massivamente conservati per un periodo più lungo ma comunque non pluriennale, salvo eccezioni.

Inoltre, non è chiaro se il Garante voglia far riferimento a tutti i metadati come generati dagli applicativi utilizzati per la gestione della stessa, oppure alla parte di metadati raccolti e trattati da sistemi Security Information and Event Management (SIEM) o Security Operations Center (SOC), con il rischio di compromettere l’efficienza del lavoro quotidiano che comporta ricerche nei messaggi e-mail che normalmente si scambiano con clienti, fornitori e colleghi etc.

Infine, non viene offerta nessuna distinzione rispetto ai titolari del trattamento che si sono dotati di policy ad hoc finalizzate a limitare l’uso della posta elettronica professionale, che così facendo hanno ridotto ai minimi termini l’impatto sul trattamento dei dati personali dei propri dipendenti.

In ragione dei molteplici dubbi che il citato documento ha generato nei lettori, il Garante il 27 febbraio ha differito l’efficacia del “Documento di indirizzo” ed ha avviato una consultazione pubblica della durata di 30 giorni sulle forme e modalità di utilizzo che renderebbero necessaria una conservazione dei metadati superiore a quella suddetta.

Come è noto, Unicredit S.p.A. in qualità di Titolare del trattamento, è stato recentemente sanzionato dal Garante per la protezione dei dati personali, a seguito di un data breach subito nel 2018; si trattò di un attacco dall’esterno, con conseguenze sui dati personali (tra questi nome, cognome, codice fiscale etc.) di clienti ed ex-clienti.

L’Autorità Garante per la protezione dei dati personali ha svolto una complessa attività istruttoria, durata diversi anni e – riferisce nel provvedimento – ha soppesato accuratamente le responsabilità dei diversi soggetti coinvolti con il Titolare del trattamento. La valutazione dell’Autorità ha dato luogo a due distinti provvedimenti, uno in capo al Titolare (reperibile sul sito dell’Autorità come doc. web n. 9991020) ed un altro in capo al Responsabile del trattamento (doc. web n. 9991064), la società NTT Data (di seguito anche “la Società), nominata ex art. 28 del GDPR.

A NTT Data è stata comminata una sanzione amministrativa pecuniaria pari ad euro 800.000,00 per non essersi conformata alla normativa in materia in qualità di Responsabile del trattamento e non aver rispettato gli obblighi contrattuali che le vietavano di sub affidare a soggetti terzi attività a lei riservate, quali i vulnerability assessment e penetration testing. Inoltre, NTT Data è stata riconosciuta responsabile di aver trasmesso tardivamente al Titolare del trattamento le vulnerabilità rilevate; un ritardo che, ad avviso del Garante, se non vi fosse stato avrebbe permesso alla banca di adottare quanto necessario ad evitare il brach.

Come sempre, il Garante privacy nell’irrogare una sanzione che sia oltre che effettiva anche proporzionata, ha tenuto conto anche degli elementi positivi riscontrati in capo al Responsabile. Questo costante rilievo effettuato dall’Autorità rende evidente che se NTT Data avesse posto in essere con la dovuta attenzione tutte le disposizioni previste dalla normativa inerente la protezione dei dati avrebbe potutoti ridurre ulteriormente la sanzione che l’ha colpita, se non addirittura riuescire ad evitarla.

Preme sottolineare come sia importante adottare modelli organizzativi e processi operativi interni volti ad assicurare l’ottemperanza alle clausole contrattuali e/o alle nomine di responsabile del trattamento; ancora oggi frequentemente trascurate o relegate ad una veloce lettura, possono essere essenziali non solo per la definizione di responsabilità di tipo contrattuale ed extra contrattuale, ma anche nell’individuazione e quantificazione di violazione delle disposizioni della normativa a protezione dei dati personali con conseguenze molto rilevanti in termini di sanzioni amministrative pecuniarie.