Fonte: Programmaradon.it – Autore: Valeria Carozzi.
la Regione è stata sanzionata co una multa di 50 mila euro dal Garante per diversi trattamenti illeciti: conservazione dei metadati della posta elettronica oltre i 21 gg, conservazione illimitata dei log di navigazione internet dei dipendenti e conservazione dei dati relativi alle richieste di assistenza tecnica. Alla luce di queste contestazioni è fondamentale che tutte le aziende facciano una analisi attenta di quello che fanno in casa loro.
Punto 1: i metadati di posta elettronica
Nonostante il documento sulla conservazione dei metadati di posta elettronica prevedesse in 21 gg la durata massima di conservazione, spesso le organizzazioni non sono ancora conformi. Si ricorda infatti che per poter superare tale limiti l’azienda deve essere in possesso di accordo sindacale o autorizzazione dell’ispettorato del lavoro, altrimenti si configura una violazione dall’art. 4, comma I dello Statuto dei Lavoratori (L. 300/70). Nel caso specifico la regione li conservava per 90 gg in assenza di accordo sindacale e di valutazione di impatto e per questo è stata sanzionata.
Si ricorda infatti che il Garante considera i metadati di posta elettronica come informazioni protette da garanzie di segretezza, tutelate costituzionalmente (artt. 2 e 15 Cost.), per garantire la dignità della persona e lo sviluppo della sua personalità. È necessario proteggerle anche nel contesto lavorativo, inclusi smart working e lavoro agile. E per questo ha imposto il limite di 21 giorni per la loro conservazione o in alternativa la necessità di accordo sindacale o autorizzazione all’ispettorato del lavoro.
Punto 2: Sanzione per controllo della navigazione internet
La regione è inoltre stata sanzionata in quanto disponeva di un sistema di content filtering con registrazione degli IP che tentavano di accedere a siti i in black list e tale registrazione veniva conservata senza limiti. Ciò avrebbe potuto permettere all’Ente di ottenere informazioni private dei dipendenti, ledendoli nei loro diritti alla riservatezza, e a nulla è valso dimostrare che tali dati non son mai stati consultati o rielaborati.
Anche in questo caso è invece necessario settare dei termini per la cancellazione (ora previsti in 90 gg) , informare correttamente i lavoratori del tracciamento e stipulare l’accordo sindacale.
Punto 3: Trattamento illecito dei dati del sistema di ticketing
La Regione Lombardia è infine stata sanzionata per trattamento illecito dei dati relativi alle richieste di assistenza tecnica nel sistema di ticketing, anche se esternalizzato con un fornitore. L’istruttoria ha rivelato una conservazione estesa dal 2016 (anche su un precedente sistema di ticketing dismesso ma ancora accessibile) , senza precise istruzioni sul trattamento dati nel sistema di ticketing. Il Garante contesta alla Regione di non aver saputo dimostrare il motivo del lungo periodo di conservazione del sistema di ticketing dismesso, apprezzando però il nuovo sistema con un periodo di conservazione ridotto a 1 anno.
Cosa possiamo imparare
La Regione per conformarsi alle disposizioni del Garante ha quindi proceduto alla sottoscrizione di appositi accordi sindacali, all’ anonimizzazione dei log relativi ai tentativi di accesso falliti ai siti web censiti nella black list, alla riduzione a 90 giorni del termine di conservazione dei log di navigazione internet con possibilità di conservazione più estesa previa anonimizzazione ed alla redazione della valutazione di impatto per i vari trattamenti.
In sintesi è quindi necessario che tutte le aziende abbiano bene a mente che ancora ci si riferisce, per questo tipo di sanzioni, allo statuto dei lavoratori, nato nel 70, che non prevedeva minimamente l’introduzione degli strumenti digitali con “approccio americano” di cui ora disponiamo, e che fino a che questo riferimento non verrà modificato, è necessario :
Informare chiaramente i lavoratori circa il trattamento dei loro dati.
mappare i sistemi traccianti in uso in azienda
Definire dei criteri di conservazione delle informazioni in base alle effettive necessità del trattamento
Eseguire una valutazione di impatto sui sistemi traccianti che possono ledere i diritti del personale dipendente (ritenuto soggetto vulneravbile)
Sottoscrivere appositi accordi sindacali o richiedere apposite autorizzazioni all’INL ove non fosse possibile rispettare il criterio dei 21 gg per la conservazione dei metadati di posta elettronica
Regolamentare con attenzione il rapporto con i fornitori di servizi tecnici
Comments are closed