VEDI ANCHE

- Comunicato stampa del 27 febbraio 2024

- Avviso pubblico di avvio della consultazione

Provvedimento del 22 febbraio 2024

Registro dei provvedimenti
n. 127 del 22 febbraio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”), con particolare riguardo agli artt. 5, 6 e 88 dello stesso;

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali”, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito, “Codice”), con particolare riguardo agli artt. 113 e 114 dello stesso;

VISTI gli artt. 4 e 8 della l. 20 maggio 1970, n. 300, nonché l’art. 10 del d.lgs. 10 settembre 2003, n. 276;

CONSIDERATO che nell’ambito di accertamenti condotti dal Garante con riguardo ai trattamenti di dati personali effettuati nel contesto lavorativo è emerso il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere, per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti, conservando gli stessi per un esteso arco temporale; ciò talvolta ponendo, altresì, limitazioni al cliente (datore di lavoro) in ordine alla possibilità di modificare le impostazioni di base del programma informatico al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi;

CONSIDERATO che il Garante ha il compito di promuovere la consapevolezza e la comprensione del pubblico, dei titolari e dei responsabili del trattamento riguardo a norme, obblighi, rischi, garanzie e diritti stabiliti dal Regolamento (ai sensi dell’art. 57, par. 1, lett. b) e d), del Regolamento);

CONSIDERATO che il Garante ha il potere di adottare documenti di indirizzo riguardanti le misure organizzative e tecniche di attuazione dei principi del Regolamento anche per singoli settori o in applicazione dei principi di cui all’articolo 25 del Regolamento (art. 154-bis, comma 1, lett. a) del Codice);

CONSIDERATO che in tale quadro - ai sensi dei predetti art. 57, par. 1, lett. b) e d), del Regolamento e art. 154-bis, comma 1, lett. a), del Codice - il Garante ha adottato il documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (provv. del 21 dicembre 2023, n. 642, doc. web n. 9978728) allo scopo di richiamare l’attenzione su taluni punti di intersezione tra la disciplina di protezione dei dati e le norme che stabiliscono le condizioni per l’impiego degli strumenti tecnologici nei luoghi di lavoro;

CONSIDERATE le specifiche richieste di chiarimenti pervenute in queste settimane al Garante in particolare con riferimento ai tempi di conservazione dei metadati generati o raccolti nell’ambito dei sistemi di posta elettronica;

RITENUTO, opportuno avviare una consultazione pubblica della durata di 30 giorni a partire dalla data di pubblicazione dell’avviso pubblico di avvio della medesima consultazione sulla Gazzetta Ufficiale, volta ad acquisire osservazioni e proposte in merito alla congruità, in relazione alle finalità perseguite dai datori di lavori pubblici e privati, del termine di conservazione dei metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica e relativi alle operazioni di invio, ricezione e smistamento dei messaggi di posta elettronica (che possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei computer coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione e di ricezione, la dimensione del messaggio, la presenza e la dimensione degli eventuali allegati, in certi casi anche l’oggetto del messaggio spedito o ricevuto) e, più in generale alle forme e modalità di utilizzo di tali metadati che ne renderebbero necessaria una conservazione superiore a quella ipotizzata nel citato documento di indirizzo;

RITENUTO, quindi, che l’efficacia del documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” del 21 dicembre 2023 sia differita al termine della predetta consultazione pubblica all’esito della quale il Garante si riserva di adottare ulteriori determinazioni o, in caso di mancata adozione di ulteriori determinazioni, al sessantesimo giorno successivo la scadenza del termine per la presentazione dei contributi richiesti nell’ambito della consultazione medesima.

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

RELATORE il prof. Pasquale Stanzione;

DELIBERA

di avviare una consultazione pubblica volta ad acquisire osservazioni e proposte riguardo alla congruità, in relazione alle finalità perseguite dai datori di lavori pubblici e privati, del termine di conservazione dei metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica e relativi alle operazioni di invio, ricezione e smistamento dei messaggi di posta elettronica (che possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei computer coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione e di ricezione, la dimensione del messaggio, la presenza e la dimensione degli eventuali allegati, in certi casi anche l’oggetto del messaggio spedito o ricevuto) e, più in generale alle forme e modalità di utilizzo di tali metadati che ne renderebbero necessaria una conservazione superiore a quella ipotizzata nel citato documento di indirizzo.

A tal fine, invita tutti i soggetti interessati a far pervenire le osservazioni, i commenti, le informazioni, le proposte e tutti gli elementi ritenuti utili, entro 30 giorni dalla pubblicazione dell’avviso pubblico di avvio della medesima consultazione sulla Gazzetta Ufficiale, all’indirizzo del Garante di Piazza Venezia n. 11, 00187 – Roma, ovvero all’indirizzo di posta elettronica protocollo@gpdp.it oppure protocollo@pec.gpdp.it.

I contributi inviati dai partecipanti alla consultazione non precostituiscono alcun titolo, condizione o vincolo rispetto ad eventuali successive determinazioni del Garante.

L’efficacia del documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (provv. del 21 dicembre 2023, n. 642, doc. web n. 9978728) viene differita al termine della predetta consultazione pubblica all’esito della quale il Garante si riserva di adottare ulteriori determinazioni o, in caso di mancata adozione di ulteriori determinazioni, al sessantesimo giorno successivo la scadenza del termine per la presentazione dei contributi richiesti nell’ambito della consultazione medesima.

Roma, 22 febbraio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei