{"id":6274,"date":"2024-03-03T21:01:33","date_gmt":"2024-03-03T21:01:33","guid":{"rendered":"https:\/\/www.consultingpb.com\/?p=6274"},"modified":"2024-03-03T21:01:36","modified_gmt":"2024-03-03T21:01:36","slug":"metadati-ii-garante-ci-ripensa-forse-no","status":"publish","type":"post","link":"https:\/\/www.consultingpb.com\/en\/blog\/diritto-rovescio\/metadati-ii-garante-ci-ripensa-forse-no\/","title":{"rendered":"Metadati, iI Garante ci ripensa? Forse no"},"content":{"rendered":"\n

Introduzione : L’Importanza della Consultazione Pubblica nella Gestione della Privacy Aziendale<\/strong><\/h3>\n\n\n\n

In un’epoca in cui la digitalizzazione permea ogni aspetto della nostra vita lavorativa e personale, la gestione della privacy e dei dati personali emerge come uno dei temi pi\u00f9 dibattuti e cruciali. <\/p>\n\n\n\n

La recente iniziativa del Garante per la protezione dei dati personali in Italia ne \u00e8 un chiaro esempio, evidenziando la necessit\u00e0 di un dialogo aperto e costruttivo tra le autorit\u00e0 regolatorie e il mondo aziendale.<\/p>\n\n\n\n

Con il decreto del 22 febbraio 2024, numero 127, l’Ente regolatore ha deciso di posticipare l’attuazione delle direttive riguardanti “Programmi e servizi informatici per la gestione delle email in ambito lavorativo e il trattamento dei metadati” (emanate con il decreto del 21 dicembre 2023, numero 642) fino alla conclusione della consultazione pubblica. <\/p>\n\n\n\n

Il provvedimento del Garante della Protezione dei Dati Personali<\/h3>\n\n\n\n

Durante indagini sui trattamenti dei dati personali in ambito lavorativo, il Garante per la privacy ha identificato un potenziale rischio nei programmi e servizi di gestione email basati su cloud. <\/p>\n\n\n\n

Nel suo documento di indirizzo, il Garante richiama l’articolo 4 dello Statuto dei lavoratori del 1970, che tratta i controlli a distanza, per esaminare in dettaglio la gestione dei metadati. <\/p>\n\n\n\n

Il Garante pone l’accento sulla durata della conservazione dei metadati, specificando che normalmente non dovrebbe superare alcune ore o giorni, e in ogni caso non oltre i sette giorni. <\/p>\n\n\n\n

Questo periodo pu\u00f2 essere esteso di altre 48 ore solo se ci sono motivi ben documentati che lo giustificano. Conservare questi dati per un tempo maggiore potrebbe essere interpretato come un controllo indiretto delle attivit\u00e0 dei lavoratori, anche se fatto per motivi di sicurezza informatica o per proteggere il patrimonio aziendale. <\/p>\n\n\n\n

Se un datore di lavoro ha la necessit\u00e0 di estendere questo periodo, deve agire in conformit\u00e0 con l’articolo 4 dello Statuto dei lavoratori, che prevede un accordo con i sindacati o, in assenza, l’autorizzazione dell’Ispettorato nazionale del lavoro. Un periodo di conservazione superiore ai sette giorni eccederebbe le limitazioni stabilite dall’articolo 4, modificato dal decreto legislativo 151\/2015 del cosiddetto Jobs Act, che esclude dal controllo a distanza gli strumenti usati dai lavoratori per svolgere il loro lavoro e i sistemi per registrare accessi e presenze.<\/p>\n\n\n\n

Quanto sopra \u00e8 stato deciso anche considerando i risultati di alcune verifiche effettuate in organizzazioni che utilizzano servizi cloud per la gestione delle email. Questi sistemi, secondo quanto emerso, potrebbero automaticamente e in modo generalizzato raccogliere metadati dall’uso degli account email dei dipendenti, mantenendo tali informazioni per periodi prolungati. <\/p>\n\n\n\n

Inoltre, \u00e8 stata evidenziata una certa difficolt\u00e0 per i datori di lavoro nel modificare le configurazioni standard di questi software per impedire la raccolta indiscriminata di dati o per accorciare i tempi di conservazione.<\/p>\n\n\n\n

Nel documento di indirizzo destinato a datori di lavoro sia pubblici che privati e ad altri soggetti coinvolti, l’obiettivo \u00e8 aumentare la consapevolezza riguardo le decisioni, comprese quelle organizzative, dei responsabili del trattamento dei dati. Si intende anche prevenire azioni e trattamenti dati che possano andare contro le leggi sulla protezione dei dati e le normative che salvaguardano libert\u00e0 e dignit\u00e0 dei lavoratori. <\/p>\n\n\n\n

Dalle informazioni accessibili attraverso i dettagli esterni degli scambi di email, quali l’oggetto, il mittente, il destinatario, e altre informazioni che tracciano il percorso dei dati, come la data e l’ora di invio o ricezione, si possono dedurre dati personali o opinioni del soggetto interessato. <\/p>\n\n\n\n

Questo avviene anche attraverso l’analisi dei pattern di comunicazione, come i destinatari frequenti e la frequenza di contatto, poich\u00e9 anche questi elementi possono essere aggregati, elaborati e monitorati per raccogliere insight sulla vita privata dell’individuo.<\/p>\n\n\n\n

Il Garante per la privacy, nel documento oggetto di discussione, ha esortato i responsabili del trattamento dei dati a controllare attentamente che i software e i servizi di gestione delle email utilizzati dai dipendenti, soprattutto quando si tratta di soluzioni commerciali offerte tramite cloud o come servizio, offrano la possibilit\u00e0 al cliente (il datore di lavoro) di modificare le configurazioni predefinite. <\/p>\n\n\n\n

Questo per evitare la raccolta dei metadati menzionati o per limitare il tempo di conservazione degli stessi a un massimo di sette giorni, con la possibilit\u00e0 di estenderlo di altre 48 ore in situazioni specifiche.<\/strong><\/p>\n\n\n\n

Conservare questi dati per un tempo maggiore potrebbe essere interpretato come un controllo indiretto delle attivit\u00e0 dei lavoratori, anche se fatto per motivi di sicurezza informatica o per proteggere il patrimonio aziendale.<\/p>\n\n\n\n

Se un datore di lavoro ha la necessit\u00e0 di estendere questo periodo, deve agire in conformit\u00e0 con l’articolo 4 dello Statuto dei lavoratori, che prevede un accordo con i sindacati o, in assenza, l’autorizzazione dell’Ispettorato nazionale del lavoro. <\/p>\n\n\n\n

L’opzione suggerita dall’Ente regolatore prevede di seguire le procedure di garanzia stabilite dalle normative specifiche del settore (articolo 4 della legge n. 300\/1970) o di interrompere l’uso di tali software e servizi informatici. <\/p>\n\n\n\n

\u00c8 chiaro che, fino all’eventuale completamento di queste procedure di garanzia, l’utilizzo dei metadati in questione \u00e8 comunque proibito (come specificato dall’articolo 2-decies del Codice).<\/strong><\/p>\n\n\n\n

L’importanza della informativa e della policy<\/h3>\n\n\n\n

In questa occasione, il Garante per la privacy ribadisce l’invito ai datori di lavoro affinch\u00e9 provvedano a comunicare ai lavoratori una specifica informativa<\/strong> riguardante il trattamento dei loro dati personali prima di iniziare tale trattamento, come indicato dagli articoli 5, paragrafo 1, lettera a), 12 e 13 del Regolamento. <\/p>\n\n\n\n

Questo richiamo prende in considerazione anche il fatto che rispettare gli obblighi di informazione verso i dipendenti, che include fornire dettagli chiari sull’uso degli strumenti tecnologici e sulle modalit\u00e0 di controllo, \u00e8 una condizione necessaria per il legittimo trattamento dei dati raccolti tramite tali strumenti da parte del datore di lavoro, per qualunque scopo legato al rapporto di lavoro, come specificato dall’articolo 4, comma 3, della legge n. 300\/1970.<\/p>\n\n\n\n

Il Garannte pertante conclude che, per prevenire un trattamento dei dati personali non conforme, che potrebbe risultare in responsabilit\u00e0 sia sotto l’aspetto amministrativo che penale, \u00e8 necessario che i datori di lavoro, appartenenti sia al settore pubblico che a quello privato, a prendere le misure necessarie per conformare il loro trattamento dei dati alle leggi di protezione dei dati e alle normative settoriali specifiche. <\/p>\n\n\n\n

gli altri aspetti connessi al trattamento dei dati personali<\/h3>\n\n\n\n

Il documento di indirizzo del Garante evidenzia alcuni aspetti chiave da considerare:<\/p>\n\n\n\n

    \n
  1. Principi di Limitazione della Conservazione<\/strong>: La durata della conservazione dei dati personali deve essere proporzionale agli scopi per cui sono stati raccolti, evidenziando la criticit\u00e0 di non prolungare tale periodo oltre quanto strettamente richiesto.<\/li>\n\n\n\n
  2. Gestione della Collaborazione con il Fornitore di Servizi<\/strong>: Quando si utilizzano servizi basati su cloud o forniti come servizio, \u00e8 cruciale che il datore di lavoro impartisca direttive chiare riguardo alla gestione dei metadati, garantendo che i periodi di conservazione siano definiti e controllati adeguatamente. In tale scenario, il fornitore del servizio agisce come responsabile del trattamento dati, come specificato dall’articolo 28, paragrafo h, del GDPR, che obbliga il titolare del trattamento a eseguire verifiche che vanno oltre la teoria, estendendosi a pratiche concrete.<\/li>\n\n\n\n
  3. Comunicazione Trasparente sul Trattamento dei Dati Personali:<\/strong> \u00c8 essenziale presentare un’informativa dettagliata e comprensibile sul trattamento dei dati personali, conformemente al GDPR e all’articolo 4 dello Statuto dei lavoratori. Ci\u00f2 implica che l’utilizzo dei dati raccolti in ambito lavorativo \u00e8 legittimo solo se i dipendenti sono stati correttamente informati riguardo le modalit\u00e0 con cui i loro dati sono trattati.<\/li>\n<\/ol>\n\n\n\n

    Le critiche ricevute <\/h3>\n\n\n\n

    Da quando il documento di indirizzo \u00e8 stato pubblicato, si \u00e8 sviluppato un acceso dibattito riguardo alle implicazioni che avrebbe sulle routine quotidiane del lavoro. <\/p>\n\n\n\n

    \u00c8 importante considerare che limitare la conservazione dei metadati (dati aggiuntivi legati a un’email, quali data, ora, mittente, destinatario, oggetto e dimensione dell’email) a soli 7 giorni pu\u00f2 avere ripercussioni negative anche sulla sicurezza delle informazioni veicolate via email. I metadati, infatti, svolgono funzioni cruciali come indirizzare i messaggi alla destinazione corretta, filtrare lo spam, monitorare la consegna e identificare problemi tecnici.<\/p>\n\n\n\n

    Molti hanno sottolineato che il limite di conservazione dei dati fissato a 7 giorni, estendibile di ulteriori 48 ore, sembra eccessivamente restrittivo quando si tratta di bilanciare la sicurezza e il know-how aziendale con i diritti e le libert\u00e0 dei lavoratori. <\/p>\n\n\n\n

    \u00c8 stato espresso il desiderio che tale regolamentazione fosse pi\u00f9 mirata verso le grandi aziende tecnologiche, che, nonostante offrano una certa flessibilit\u00e0 di configurazione, non raggiungono il livello di dettaglio richiesto. <\/p>\n\n\n\n

    Di conseguenza, anche con la volont\u00e0 di seguire scrupolosamente le indicazioni del documento di indirizzo, per le piccole imprese o i liberi professionisti risulterebbe particolarmente arduo conformarsi a questa scadenza senza incorrere in impatti negativi sull’organizzazione del lavoro.<\/p>\n\n\n\n

    Ma non solo <\/p>\n\n\n\n

    La possibilit\u00e0 di accedere a tali informazioni dopo il periodo di conservazione standard potrebbe essere vitale per proteggere gli interessi legali dell’azienda o del professionista.<\/p>\n\n\n\n

    Pertanto, anche se vi \u00e8 l’intenzione di aderire rigorosamente alle direttive del documento di indirizzo, per le piccole imprese o i professionisti autonomi risulta estremamente difficile conformarsi a tali requisiti senza subire impatti negativi sull’organizzazione del lavoro. <\/p>\n\n\n\n

    Questo evidenzia la necessit\u00e0 di un approccio pi\u00f9 flessibile che consideri le esigenze di sicurezza delle informazioni, la gestione aziendale e la protezione legale senza compromettere i diritti dei lavoratori.<\/p>\n\n\n\n

    Un percorso iniziato nel 2007<\/h3>\n\n\n\n

    il Documento di indirizzo dell’Autorit\u00e0 Garante sulla gestione della posta elettronica e il trattamento dei metadati in ambito lavorativo segue fedelmente le questioni gi\u00e0 esaminate nelle Linee guida del 2007 per la posta elettronica e internet, cos\u00ec come nel provvedimento del 2016 riguardante il trattamento dei dati personali dei dipendenti tramite email e altri strumenti di lavoro.<\/p>\n\n\n\n

    Nel 2016, il Garante aveva chiarito che i servizi di posta elettronica e la navigazione web dovrebbero essere considerati strumenti di lavoro solo se strettamente necessari per l’attivit\u00e0 lavorativa, anche in termini di sicurezza. <\/p>\n\n\n\n

    Il servizio di posta elettronica fornito ai dipendenti (attraverso un account personale) e altri servizi di rete aziendale, inclusi l’accesso a siti internet, possono essere visti come “strumenti di lavoro” secondo la normativa menzionata. Anche i sistemi e le misure che assicurano il corretto e sicuro funzionamento di questi strumenti, garantendo un alto livello di sicurezza della rete aziendale a disposizione dei lavoratori, sono considerati parte integrante degli stessi.<\/p>\n\n\n\n

    Nell’ordinanza ingiunzione emessa nei confronti della Regione Lazio il primo dicembre 2022 Il Garante ha sottolineato che conservare i metadati legati all’uso della posta elettronica dei dipendenti, anche se giustificato da motivi di sicurezza informatica (come nel caso della Regione), potrebbe portare a un controllo indiretto delle attivit\u00e0 dei lavoratori.<\/p>\n\n\n\n

    Questo tipo di controllo \u00e8 permesso dalla legge solo se ci sono specifiche necessit\u00e0 organizzative, produttive, di sicurezza sul lavoro o di protezione del patrimonio aziendale, e deve sempre essere accompagnato dalle garanzie procedurali stabilite dall’articolo 4, comma 1, della legge n. 300\/1970, che prevede un accordo sindacale o, in mancanza, un’autorizzazione pubblica.<\/p>\n\n\n\n

    La consultazione pubblica <\/h3>\n\n\n\n

    Una consultazione pubblica avviata dall’Autorit\u00e0 Garante Privacy \u00e8 un’iniziativa che permette a chiunque di esprimere opinioni e commenti su questioni legate alla protezione dei dati personali. <\/p>\n\n\n\n

    Questo processo, aperto e trasparente, mira a raccogliere i pareri del pubblico per influenzare l’elaborazione di nuove normative, linee guida o provvedimenti in ambito privacy. <\/p>\n\n\n\n

    Le tematiche possono variare ampiamente, inclusi nuovi regolamenti sulla privacy, dettagli sul trattamento dei dati personali, o specifiche azioni del Garante.<\/p>\n\n\n\n

    Per partecipare, \u00e8 possibile inviare contributi tramite moduli online, email o posta tradizionale. <\/p>\n\n\n\n

    Al termine del periodo di consultazione, l’Autorit\u00e0 esamina tutte le osservazioni ricevute per informare le sue decisioni. <\/p>\n\n\n\n

    Queste consultazioni sono cruciali per coinvolgere il pubblico nelle decisioni sulla privacy, elevare la qualit\u00e0 delle decisioni del Garante e promuovere una maggiore consapevolezza sulla privacy. <\/p>\n\n\n\n

    Per informazioni dettagliate, \u00e8 possibile consultare l’elenco di tutte le consultazioni passate e attuali sul sito dell’Autorit\u00e0. Riguardo al caso specifico discusso, bench\u00e9 sia positivo che il Garante abbia cercato il feedback di datori di lavoro, esperti e altri interessati, sarebbe stato preferibile che ci\u00f2 avvenisse prima dell’emissione del provvedimento in questione. <\/p>\n\n\n\n

    \u00c8 importante ricordare anche che esistono principi fondamentali stabiliti dall’articolo 5 del GDPR, che sono imprescindibili. Dopo i 60 giorni dalla pubblicazione ufficiale, le linee guida diventeranno effettive e vincolanti.<\/strong><\/p>\n\n\n\n

    Ora dal documento ufficiale, apprendiamo che il Garante ha deciso di iniziare una consultazione pubblica. <\/p>\n\n\n\n

    Questa consultazione mira a raccogliere opinioni e suggerimenti sulla correttezza del periodo di conservazione dei metadati email, in base agli obiettivi dei datori di lavoro sia pubblici che privati. <\/em><\/p>\n\n\n\n

    L’obiettivo \u00e8 capire se sia necessario conservare questi dati per un periodo pi\u00f9 lungo di quello suggerito nelle linee guida iniziali, considerando le varie modalit\u00e0 di utilizzo dei metadati.<\/p>\n\n\n\n

    Il provvedimento rischiava di azzerare l’archivio storico delle aziende, dato che l’assenza di metadati (quali mittente e destinatario, data di invio e ricezione, oggetto, dimensione del messaggio e degli allegati) renderebbe praticamente impossibile l’indicizzazione e, di conseguenza, la ricerca dei messaggi di posta elettronica.<\/p>\n\n\n\n

    La consultazione si concentra anche sulle modalit\u00e0 di utilizzo dei metadati che potrebbero giustificare una conservazione pi\u00f9 lunga di quanto proposto nel documento di indirizzo.<\/p>\n\n\n\n

    La decisione di avviare una consultazione pubblica rappresenta un riconoscimento dell’importanza del coinvolgimento degli stakeholder nel processo regolatorio. Si apre cos\u00ec un canale diretto per aziende e fornitori di servizi email, invitati a presentare le loro considerazioni entro 30 giorni. Questo periodo di dialogo offre l’opportunit\u00e0 di influenzare la formulazione delle linee guida, cercando un equilibrio tra la tutela della privacy e le necessit\u00e0 operative aziendali.<\/p>\n\n\n\n

    Si spera che ai datori di lavoro venga riconcessa la piena autorit\u00e0 sulle finalit\u00e0 e i metodi di trattamento dei dati, dandogli la libert\u00e0 di adottare le misure tecniche e organizzative necessarie per assicurare che il trattamento dei dati personali avvenga in conformit\u00e0 con il Regolamento. <\/p>\n\n\n\n

    Questo includerebbe la capacit\u00e0 di decidere autonomamente il periodo di conservazione dei dati che considerano appropriato, valutando la natura, l’ambito, il contesto e gli obiettivi del trattamento, oltre ai potenziali rischi per i diritti e le libert\u00e0 degli individui.<\/p>\n\n\n\n

    Ci si attende (o si spera) anche che i provider di servizi email adottino rigorosamente le linee guida imposte dall’Autorit\u00e0 Garante per la protezione dei dati personali, come esplicitato nel documento guida fornito. <\/p>\n\n\n\n

    \u00c8 atteso che i fornitori di servizi di posta elettronica siano tra i primi a conformarsi alle prescrizioni dell’Autorit\u00e0 per la privacy, adeguando i loro sistemi secondo i principi di “privacy fin dalla progettazione” e “privacy come impostazione predefinita”. Questo approccio, una volta messo in pratica dai datori di lavoro nella loro capacit\u00e0 di gestori dei dati, dovrebbe permettere loro di determinare autonomamente il tempo di conservazione dei metadati che considerano pi\u00f9 opportuno.<\/p>\n\n\n\n

    Queste direttive sono progettate per evitare pratiche e gestioni dei dati che contravvengano alle leggi sulla privacy e alle normative che proteggono la libert\u00e0 e l’onore dei lavoratori, come menzionato negli articoli 113 e 114 del Codice della privacy. L’intento \u00e8 quello di aumentare la consapevolezza sulle normative e sulle precauzioni necessarie nel contesto lavorativo, data l’importanza dei diritti e delle libert\u00e0 delle persone coinvolte. <\/p>\n\n\n\n

    Come funziona la consultazione ?<\/h3>\n\n\n\n

    La partecipazione sar\u00e0 semplice: sar\u00e0 sufficiente inviare al Garante osservazioni, commenti, dati, suggerimenti e qualsiasi elemento considerato utile per affinare la regolamentazione del settore, entro un termine di 30 giorni dalla data di annuncio del provvedimento sulla Gazzetta Ufficiale. Gli interventi potranno essere inoltrati via posta tradizionale o tramite e-mail, utilizzando gli indirizzi protocollo@gpdp.it o protocollo@pec.gpdp.it.<\/p>\n\n\n\n

    Il differimento del provvedimento del Garante <\/h3>\n\n\n\n

    La seconda azione importante presa dal Garante \u00e8 quella di posticipare l’applicazione delle linee guida stabilite il 21 dicembre, fino alla fine della consultazione pubblica e all’adozione di nuove decisioni. <\/p>\n\n\n\n

    Se non verranno prese nuove decisioni, il rinvio durer\u00e0 fino a 60 giorni dopo il termine della consultazione. <\/p>\n\n\n\n

    In pratica, ci\u00f2 significa che datori di lavoro e gestori dei servizi cloud per le email aziendali non dovranno cambiare le loro attuali pratiche di conservazione dei dati per un periodo che pu\u00f2 arrivare fino a 90 giorni, mentre si raccolgono e si valutano le opinioni.<\/p>\n\n\n\n

    Redefinire gli Strumenti di Lavoro<\/h3>\n\n\n\n

    Sar\u00e0 necessaria una maggiore attenzione verso il concetto di “strumenti di lavoro”, come definito dall’articolo 4 dello Statuto dei lavoratori dal 2015. <\/p>\n\n\n\n

    Oggi, quasi tutti i lavoratori utilizzano le email per svolgere le loro mansioni, inclusi coloro che fanno lavori operativi o manuali, per comunicare con clienti e colleghi. <\/p>\n\n\n\n

    Riconoscendo questa connessione essenziale, si potrebbe risolvere il dilemma dell’articolo 4, assicurando al contempo il rispetto delle norme sulla protezione dei dati personali.<\/p>\n\n\n\n

    La Gestione dei Metadati delle Email Aziendali<\/strong><\/h3>\n\n\n\n

    Il documento chiarisce che la conservazione indefinita di metadati come giorno, ora, mittente, destinatario, oggetto e dimensione dell’email potrebbe trasformarsi in uno strumento per il controllo remoto dell’attivit\u00e0 dei dipendenti. <\/p>\n\n\n\n

    Questa pratica non solo contravviene allo Statuto dei lavoratori, vietando esplicitamente la valutazione delle prestazioni dei dipendenti tramite sistemi di controllo a distanza, ma potrebbe anche rappresentare un trattamento illecito dei dati personali secondo i principi del GDPR.<\/p>\n\n\n\n

    Di fronte a questa problematica, il Garante sostiene che i metadati dovrebbero essere conservati per un periodo non superiore a 7 giorni, salvo comprovate esigenze che giustifichino un’estensione fino a un massimo di due giorni aggiuntivi. Questa raccomandazione si basa sull’assenza di motivazioni oggettive che richiedano una conservazione pi\u00f9 prolungata e dovrebbe essere implementata previo accordo tra azienda e sindacati, garantendo cos\u00ec un approccio condiviso e rispettoso sia delle esigenze operative sia dei diritti dei lavoratori.<\/p>\n\n\n\n

    L’azione del Garante per la protezione dei dati personali si inserisce in un contesto pi\u00f9 ampio di preoccupazione per le modalit\u00e0 con cui le attivit\u00e0 lavorative vengono monitorate e valutate. In diversi paesi, strumenti tecnologici avanzati \u2013 che includono il monitoraggio degli orari e delle posizioni di invio e ricezione delle email, ma anche tecniche pi\u00f9 invasive come il tracciamento del movimento del mouse, catture di schermo e l’utilizzo della webcam \u2013 vengono impiegati per valutare le prestazioni dei dipendenti. <\/p>\n\n\n\n

    Il Garante \u00e8 intervenuto per risolvere un problema concreto. L’uso di dati come gli orari e i luoghi da cui i dipendenti inviano e ricevono email \u00e8 pratica comune in alcuni paesi, dove si utilizzano software avanzati. Questi strumenti, che possono includere il tracciamento del movimento del mouse, screenshot e persino l’uso della webcam, servono alle aziende per controllare e valutare le prestazioni dei loro dipendenti. Tuttavia, in Italia, questo tipo di monitoraggio \u00e8 generalmente proibito e consentito solo in circostanze specifiche, come la protezione dei beni aziendali, e solo dopo aver raggiunto un accordo con i sindacati.<\/p>\n\n\n\n

    \u00c8 degno di nota come il Garante abbia deciso di avvertire tutti i datori di lavoro, anche quelli che non hanno intenzioni di sorvegliare i propri dipendenti, riguardo alla pratica dei fornitori di servizi email basati su cloud, che raccolgono e memorizzano comunque i dati. Questo avviene talvolta in modi che sfuggono al controllo diretto dell’azienda, la quale, per legge, dovrebbe avere la piena responsabilit\u00e0 su questi dati.<\/p>\n\n\n\n

    Secondo un’interpretazione comune e logica, l’obiettivo del Garante \u00e8 impedire la conservazione permanente dei registri di accesso ai ]server di posta elettronica basati su cloud. <\/p>\n\n\n\n

    Questi registri dettagliano quando e da quale indirizzo IP i dipendenti accedono, oltre alle azioni che eseguono, e potrebbero essere utilizzati per analisi di ampio raggio. Tuttavia i metadati menzionati nel provvedimento, quali oggetto, mittente, destinatario e tempi di invio o ricezione, sono parte integrante delle email conservate nei servizi cloud. Eliminarli significherebbe rimuovere anche il contenuto dei messaggi stessi.<\/p>\n\n\n\n

    Nonostante le buone intenzioni, la formulazione delle linee guida ha generato confusione tra le aziende, lasciandole incerte su come procedere per conformarsi alle nuove disposizioni. Questa situazione sottolinea l’importanza di un dialogo continuo e aperto tra il Garante, le imprese e i sindacati per garantire che le normative siano non solo efficaci ma anche chiare e fattibili.<\/p>\n\n\n\n

    \n\n\n\n

    Cosa serve fare?<\/h3>\n\n\n\n

    I titolari del trattamento, con il supporto del DPO, dovrebbero:<\/p>\n\n\n\n

    Adeguamento ai Principi di Minimizzazione e Limitazione della Conservazione<\/h3>\n\n\n\n

    Il principio di minimizzazione dei dati, sancito dal GDPR, richiede che solo i dati necessari per lo scopo specifico del loro trattamento siano raccolti e conservati. Analogamente, il principio di limitazione della conservazione impone che i dati personali siano mantenuti in una forma che consenta l’identificazione degli interessati solo per il tempo necessario agli scopi per cui sono trattati. Rivedere e, se necessario, ridurre i tempi di conservazione dei metadati significa allinearsi a questi principi fondamentali, assicurando che ogni dato conservato abbia una giustificazione legittima e sia protetto adeguatamente.<\/p>\n\n\n\n

    Bilanciamento tra Esigenze di Protezione e Operativit\u00e0<\/h3>\n\n\n\n

    La sfida nell’adeguamento dei tempi di conservazione dei metadati risiede nel trovare un equilibrio tra la protezione della privacy degli individui e le necessit\u00e0 operative delle organizzazioni. Per esempio, alcuni metadati possono essere essenziali per finalit\u00e0 di sicurezza informatica, come il rilevamento di intrusioni o l’analisi forense in caso di incidenti di sicurezza. Allo stesso tempo, \u00e8 vitale assicurarsi che tali dati non siano conservati oltre il necessario, per evitare rischi legati alla privacy.<\/p>\n\n\n\n

    Implementazione di Politiche di Conservazione Differenziate<\/h3>\n\n\n\n

    Un approccio efficace pu\u00f2 includere lo sviluppo di politiche di conservazione differenziate basate sulla categoria dei dati, sul loro utilizzo e sui potenziali rischi per gli interessati. Questo approccio permette alle organizzazioni di adottare tempi di conservazione flessibili che riflettano la sensibilit\u00e0 dei dati e le esigenze operative specifiche, pur rimanendo in linea con le normative sulla privacy.<\/p>\n\n\n\n

    Valutazioni Periodiche e Aggiustamenti<\/h3>\n\n\n\n

    Infine, \u00e8 fondamentale che le organizzazioni conducano valutazioni periodiche delle loro politiche di conservazione dei dati per assicurarsi che rimangano adeguate nel tempo. L’evoluzione delle tecnologie, dei modelli di business e delle normative pu\u00f2 richiedere aggiustamenti alle pratiche di conservazione. Un processo di revisione continuo garantisce che le organizzazioni possano adeguarsi rapidamente a tali cambiamenti, mantenendo al contempo un alto livello di protezione dei dati personali.<\/p>\n\n\n\n

    Un nuovo percorso con le RSA<\/h3>\n\n\n\n

    Esaminare l’opportunit\u00e0 di stipulare nuovi accordi con le rappresentanze sindacali o di ottenere approvazioni dall’Ispettorato Nazionale del Lavoro (INL) a causa delle novit\u00e0 portate dal GDPR, in particolare per quelle procedure che erano gi\u00e0 in atto prima dell’implementazione del regolamento.<\/p>\n\n\n\n

    l’importanza della DPA<\/h3>\n\n\n\n

    Effettuare un’Analisi di Impatto sulla Protezione dei Dati (Data Protection Impact Assessment, DPIA) per le attivit\u00e0 di trattamento dei metadati, a prescindere dal periodo di conservazione previsto.<\/p>\n\n\n\n

    Fornire informazioni specifiche ai sensi dello Statuto dei lavoratori e del GDPR. <\/h3>\n\n\n\n

    Distribuire dettagli puntuali conformemente allo Statuto dei lavoratori e al GDPR, contemplando l’inclusione dei metadati delle email nel registro documentale ufficiale, includendo il trattamento dei metadati dei messaggi email che devono essere inclusi nel sistema documentale ufficiale.<\/p>\n\n\n\n

    Dare istruzioni chiare ai fornitori esterni riguardo i tempi di conservazione e le modalit\u00e0 di verifica.<\/p>\n\n\n\n

    Stabilire procedure per la gestione delle caselle email individuali al termine del rapporto di lavoro, che includano la selezione e l’acquisizione dei messaggi importanti nel sistema documentale e l’eventuale mantenimento temporaneo della casella per inviare risposte automatiche.<\/p>\n\n\n\n

    Innanzitutto le aziende devono comprendere appieno la propria situazione riguardo l’uso dei servizi email, consigliando di mappare attentamente tali servizi e di discutere con i fornitori la fattibilit\u00e0 di impostare criteri di cancellazione adeguati. <\/p>\n\n\n\n

    Dopo aver effettuato queste verifiche e considerato la necessit\u00e0 di mantenere i dati per periodi prolungati, ad esempio per motivi di sicurezza informatica a protezione dei beni aziendali, diventa essenziale aggiornare le informazioni fornite ai dipendenti, registrare i processi di trattamento dei dati, rivedere le politiche di conservazione dei dati e altri documenti pertinenti, oltre a stabilire un accordo con i rappresentanti sindacali.<\/p>\n\n\n\n

    Per fortuna, c’\u00e8 adesso pi\u00f9 tempo a disposizione per portare avanti queste operazioni, mentre si attendono i risultati della consultazione pubblica iniziata dal Garante. \u00c8 incerto se il Garante opter\u00e0 per una revisione della durata massima di conservazione dei dati o fornir\u00e0 linee guida specifiche su come i metadati dovrebbero essere gestiti per rimanere in conformit\u00e0. Indipendentemente dall’esito, \u00e8 importante essere preparati a rispondere a qualsiasi scenario che possa presentarsi.<\/p>\n\n\n\n

    L’utilizzabilit\u00e0 dei dati raccolti<\/h3>\n\n\n\n

    \u00e9 evidente oltre che ovvia la inutilizzabilit\u00e0 dei dati relativi all’attivit\u00e0 lavorativa raccolti dai datori di lavoro senza seguire le procedure stabilite dall’articolo 4 dello Statuto dei lavoratori: l’utilizzo di tali informazioni, inclusi i metadati, \u00e8 generalmente proibito in assenza di un accordo sindacale o di un’autorizzazione dell’Ispettorato Nazionale del Lavoro (INL). <\/p>\n\n\n\n

    Tuttavia, la situazione cambia nel contesto penale, dove questa limitazione non si applica.<\/p>\n\n\n\n

    L’articolo 160-bis del Codice della privacy chiarisce che l’ammissibilit\u00e0 di atti, documenti e provvedimenti non conformi alle norme sul trattamento dei dati personali \u00e8 determinata dalle norme processuali applicabili in procedimenti giudiziari. Questo principio \u00e8 stato ulteriormente confermato da una recente sentenza della Corte di Cassazione, che ha evidenziato come le protezioni offerte dall’articolo 4 dello Statuto dei lavoratori siano rilevanti nei rapporti privati tra datori di lavoro e lavoratori, ma non influenzino le indagini e le azioni legali relative a reati.<\/p>\n\n\n\n

    \n\n\n\n

    Riflessioni Finali – Alcune illustri opinioni<\/h3>\n\n\n\n

    di Chiara Ponti Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie \u2013 Giornalista<\/p>\n\n\n\n

    Il Prof. Giovanni Crea<\/h3>\n\n\n\n

    il Prof. Giovanni Crea<\/strong>, docente ed esperto in materia, esprime cos\u00ec il suo parere: \u201cDalla lettura del provvedimento di avvio della consultazione e nelle pieghe di questo provvedimento si intravede bene l\u2019obiettivo del Garante, di convalidare la sua posizione attraverso proprio questa consultazione pubblica <\/strong>gi\u00e0 espressa nel documento di indirizzo di cui al provvedimento del 21 dicembre scorso 2023\u201d.<\/p>\n\n\n\n

    \u201c\u00c8 verosimile pensare\u201d, continua l\u2019esperto, \u201cche il Garante vorr\u00e0 sostenere la seguente tesi: che il sistema di posta elettronica \u00e8 un sistema di gestione<\/em> che in buona sostanza si compone di due macro categorie<\/strong> di:<\/p>\n\n\n\n

      \n
    1. programmi informatici \u2013 software<\/strong> che funzionano come strumenti di lavoro<\/strong> e che quindi servono al lavoratore per rendere la prestazione lavorativa<\/strong>;<\/li>\n\n\n\n
    2. programmi di gestione<\/strong> che<\/strong> non servono al dipendente al lavoratore per rendere la prestazione lavorativa, ma servono per le finalit\u00e0 (<\/strong>di cui lo stesso e garante ha parlato nel suo documento di indirizzo) che sono di sicurezza informatica di protezione e della di tutela del patrimonio aziendale patrimonio anche informativo<\/strong>\u201d.<\/li>\n<\/ol>\n\n\n\n

      Un\u2019ulteriore considerazione che merita apprezzamento ed espressa Professor Crea \u00e8 che \u201cse gli esiti della consultazione<\/strong> pubblica<\/strong> [ndr. opinando che ci saranno] faranno emergere questa ripartizione del sistema di posta elettronica in quelle due citate grandi categorie (software<\/strong> quali strumenti di lavoro<\/em><\/strong> e software<\/strong> come strumenti non di lavoro<\/em><\/strong>), smentendo quindi anche fortemente e in maniera clamorosa quella corrente di pensiero manifestatasi in questi giorni, secondo la quale il sistema di posta elettronica avrebbe un unico profilo<\/strong> unicamente quello di strumento di lavoro, vedremo se il Garante riuscir\u00e0 a dimostrare che invece c\u2019\u00e8 anche l\u2019altro filone di uno strumento anche di non lavoro\u201d.<\/p>\n\n\n\n

      \u201cVieppi\u00f9 alla luce delle considerazioni squisitamente tecniche\u201d cio\u00e8 dal punto di vista informatico<\/strong> vi sono delle componenti\/moduli software che, conclude il Professore, \u201cin realt\u00e0 non sono strumenti di lavoro, ma strumenti a supporto di tutto il sistema di posta elettronica in assenza dei quali la parte di software funzionerebbe ugualmente\u201d.<\/p>\n\n\n\n

      La riflessione dell’amico Giovannni prosegue in questi due interessantissimi post<\/p>\n\n\n\n

      https:\/\/www.linkedin.com\/feed\/update\/urn:li:activity:7170116005694763008\/?commentUrn=urn%3Ali%3Acomment%3A(activity%3A7170116005694763008%2C7170119278208184320)&dashCommentUrn=urn%3Ali%3Afsd_comment%3A(7170119278208184320%2Curn%3Ali%3Aactivity%3A7170116005694763008)<\/a><\/p>\n\n\n\n

      https:\/\/www.linkedin.com\/feed\/update\/urn:li:activity:7154489247297658880\/<\/a><\/p>\n\n\n\n

      Andrea Lisi: chiarire i rapporti tra datori di lavoro e provider di posta<\/h3>\n\n\n\n

      Un altro stimolante confronto lo si \u00e8 avuto con Andrea Lisi<\/strong>, avvocato e gi\u00e0 Presidente Anorc professioni, il quale cos\u00ec argomenta: \u201cl\u2019Autorit\u00e0 Garante effettivamente aveva anticipato la notizia che sarebbe arrivato un doveroso chiarimento<\/strong>, considerato che il documento di indirizzo<\/em> aveva destato numerose perplessit\u00e0<\/strong> in ordine alla sua applicabilit\u00e0\u201d.<\/p>\n\n\n\n

      E poi prosegue affermando che la circostanza per la quale \u201csi anticipi questo necessario chiarimento<\/strong> con una consultazione pubblica [potrebbe] essere considerata una buona notizia perch\u00e9 consentir\u00e0 confronto e ponderazione nelle indicazioni da dare. Ovvio che molto dipender\u00e0 anche da modalit\u00e0 e termini di questa consultazione e ovviamente dalle conclusioni che l\u2019Autorit\u00e0 far\u00e0 sue\u201d.<\/p>\n\n\n\n

      Ancora, l\u2019avvocato Lisi offre qualche spunto a fronte di alcune considerazioni e che riportiamo di seguito fedelmente:<\/p>\n\n\n\n

        \n
      1. \u201cPremesso che i principi generali del GDPR e della L. 300\/1970 vanno sempre rispettati<\/strong>, l\u2019attuale articolo 4 dello Statuto dei lavoratori, come modificato nel 2015 dal Jobs Act, prevede nel comma 2 una precisa eccezione rispetto alle garanzie esplicitate nel comma 1 per tutti \u201cgli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa\u201d. <\/strong>Ci troviamo pacificamente d\u2019accordo che le e-mail aziendali<\/strong>, \u201ca maggior ragione se ben regolamentate nel loro utilizzo professionale da policy trasparenti ed esaustive, sono senz\u2019altro strumenti di lavoro<\/em>.<\/strong> Se per garantire l\u2019efficienza e la sicurezza di uno strumento di lavoro \u00e8 necessario conservare determinati \u201cmetadati\u201d,<\/strong> tale documentata esigenza consente di confermare l\u2019applicazione del II comma. Del resto, non si leggono nella lettera della normativa ipotesi diverse che consentano di \u201cfar rientrare dalla finestra\u201d ci\u00f2 che invece \u00e8 espressamente eccezione a un principio generale\u201d;<\/li>\n\n\n\n
      2. L\u2019avvocato Lisi riferisce che \u201cla corrispondenza (cartacea e digitale) va ordinatamente conservata secondo l\u2019art. 2220 del Cod. Civile (e per le PA secondo quanto previsto dal Codice dei beni culturali). Per poterlo fare i metadati sono indispensabili, come precisato anche dalle regole tecniche sulla gestione e conservazione dei documenti informatici di AgID;\u201d<\/li>\n\n\n\n
      3. Da qui, passa all\u2019ulteriore considerazione per la quale \u201ci rapporti tra organizzazione datore di lavoro e grandi provider di posta non sempre sono facilmente e schematicamente sussumibili in ci\u00f2 che in astratto il GDPR prevede<\/strong>\u201d. Considerazione del tutto condivisibile cedendo il passo al principio sacro dell\u2019intero impianto del GDPR \u201c\u2026 l\u2019accountability che serve a livellare rapporti contrattuali non ben bilanciati in una sinallagmaticit\u00e0 perfetta<\/strong>: designare responsabile Google \u00e8 burocrazia formale, non di certo diritto sostanziale\u201d. Qualche consiglio di entrambi sforzarsi sempre di pi\u00f9 nel \u201ccercare di verificare bene come garantire i diritti dei lavoratori in rapporti contrattuali sbilanciati<\/strong>, senza per\u00f2 immaginare e chiedere ci\u00f2 che possibile non \u00e8\u201d, posto che \u201c\u2026 teoricamente un datore di lavoro \u00e8 in grado di acquisire dall\u2019analisi di metadati, indirettamente messi a sua disposizione<\/em><\/strong>, dei dati personali di un lavoratore, non significa che possa farlo<\/strong>, se la finalit\u00e0 di trattamento fosse tutt\u2019altra!\u201d.<\/li>\n<\/ol>\n\n\n\n

        E di qui l\u2019importanza dei modelli organizzativi.<\/strong><\/p>\n\n\n\n

        La proposta di privacy network<\/h3>\n\n\n\n
        \n

        Privacy Network, quale associazione no-profit, da sempre attenta ai temi legati all\u2019applicazione pratica dei principi cardine della normativa privacy vigente, alla luce dell\u2019avvio, da parte del Garante, di una consultazione pubblica sulla congruit\u00e0 del termine di conservazione dei metadati degli account dei servizi di posta elettronica dei lavoratori,
        presenta le seguenti
        <\/p>\n\n\n\n

        OSSERVAZIONI
        Riteniamo che il documento di indirizzo con cui \u00e8 stato istituito il termine di 7 giorni estensibili di 48 ore per comprovate esigenze, quale periodo di conservazione dei metadati degli account dei servizi di posta elettronica debba essere modificato nei seguenti termini:<\/p>\n\n\n\n

        ELIMINAZIONE DI QUALSIASI RIFERIMENTO TEMPORALE VINCOLANTE PER I DATORI DI LAVORO<\/p>\n\n\n\n


        A nostro avviso deve infatti prevalere il principio di accountability, affinch\u00e9 il datore di lavoro possa valutare caso per caso quale sia il periodo di conservazione pi\u00f9 congruo dei metadati in questione, rispetto
        al proprio scenario di rischio.
        <\/p>\n\n\n\n

        Come noto, inoltre, i metadati svolgono un ruolo cruciale nelle indagini forensi in caso di incidenti di sicurezza e\/o violazioni di dati personali, fornendo approfondimenti sulla storia, sugli accessi, sulle azioni compiute dagli utenti e sui passaggi dei file, tra cui rientrano certamente le e-mail aziendali.<\/p>\n\n\n\n


        D\u2019altronde, ancora oggi gli attacchi phishing o attacchi che violano account, fra cui certamente quelli dei provider di servizi di posta, sono tra i pi\u00f9 frequenti. Ricordiamo anche gli attacchi \u201cMan in the Middle\u201d, spesso scoperti dall\u2019azienda ben oltre i 7 giorni dall\u2019accadimento (soprattutto per realt\u00e0 medio-piccole, non dotate di SOC o SIEM). <\/p>\n\n\n\n

        In assenza di metadati e log, sarebbe estremamente complesso tutelare sia gli interessi aziendali che quelli degli eventuali soggetti interessati coinvolti.<\/p>\n\n\n\n


        Paradossalmente, le realt\u00e0 medio-piccole non dotate di strumenti di logging e analisi avanzata delle anomalie potrebbero essere messe pi\u00f9 in difficolt\u00e0 rispetto ad aziende che invece possono permettersi l\u2019uso di questi strumenti, rendendo cos\u00ec l\u2019applicazione delle linee guida sproporzionata proprio nei contesti dove invece sarebbe necessario potenziare le capacit\u00e0 di difesa e analisi forense.<\/p>\n\n\n\n


        Pertanto, il termine di 7 giorni, prorogabile di solo 48 ore, appare del tutto sproporzionato se ponessimo -come lo richiede la normativa- a bilanciamento i legittimi interessi di tutela e sicurezza del patrimonio e know-how aziendale con i diritti e le libert\u00e0 dei lavoratori. E lo diciamo con estrema franchezza e onest\u00e0, pur essendo un\u2019associazione che
        difende da sempre i diritti e libert\u00e0 dei soggetti interessati (lavoratori e
        studenti in primis).<\/p>\n\n\n\n

        Inoltre, in un contesto di legittimit\u00e0 del loro utilizzo, i metadati possono essere determinanti nelle indagini penali, poich\u00e9 aiutano a comprendere la creazione, la modifica dei file, l’accesso alle informazioni e altro
        ancora.<\/p>\n\n\n\n

        Tenendo ferma la necessit\u00e0, per ogni titolare, di definire precisi termini (o criteri) di conservazione, suggeriamo quindi all\u2019Autorit\u00e0 di rivedere le linee guida, tenendo come punto fermo le gi\u00e0 ben delineate prassi internazionali in merito ai log di sicurezza, che danno prevalenza alle capacit\u00e0 di analisi forense piuttosto che alla minimizzazione dei dati.<\/p>\n\n\n\n

        LA RICHIESTA DI ELIMINAZIONE DEI METADATI DOVREBBE ESSERE RIVOLTA NEI CONFRONTI DEI PROVIDER DEI SERVIZI DI
        POSTA ELETTRONICA<\/p>\n\n\n\n


        Per quanto attiene invece alla capacit\u00e0 concreta del datore di lavoro di definire i tempi di conservazione dei metadati della posta elettronica, urge purtroppo sollevare un punto dolente.
        <\/p>\n\n\n\n

        La maggior parte delle aziende nel mondo usano strumenti della big
        tech come Google Workplace o Office365, che pur permettendo diversi livelli di configurabilit\u00e0, non \u00e8 detto che consentano questo tipo di conservazione granulare. In particolare, da una prima indagine, non ci risulta possibile definire un tempo di conservazione breve per i metadati della posta elettronica trattati con Google Workplace.
        <\/p>\n\n\n\n

        Tale adempimento potrebbe quindi essere tecnicamente impossibile o di difficile realizzazione da parte delle aziende italiane. Troviamo quindi pi\u00f9 opportuno rivolgere il provvedimento primariamente ai fornitori
        di servizi di posta elettronica, anche nel rispetto del principio di privacy by design e by default, che dovrebbero proprio governare il processo di sviluppo di questi software.
        Alla luce di tutto quanto sopra,
        SUGGERIAMO<\/p>\n\n\n\n


        al Garante per la Protezione dei Dati Personali la modifica del Documento di Indirizzo:
        a) eliminando qualsiasi riferimento temporale vincolante per i datori di lavoro, in accordo con il principio di accountability e con le gi\u00e0 ben delineate prassi internazionali in merito ai log di sicurezza, che danno prevalenza alle capacit\u00e0 di analisi forense piuttosto che alla minimizzazione dei dati;
        b) rivolgendo il provvedimento primariamente ai fornitori di servizi di posta elettronica per avviare processi di privacy by design e by default all\u2019interno di chi ha sviluppato tali applicazioni in modalit\u00e0

        In fede,
        Milano, l\u00ec 27.02.2024
        Privacy Network<\/p>\n<\/blockquote>\n\n\n\n

        <\/p>\n","protected":false},"excerpt":{"rendered":"

        Introduzione : L’Importanza della Consultazione Pubblica nella Gestione della Privacy Aziendale In un’epoca in cui la digitalizzazione permea ogni aspetto della nostra vita lavorativa e personale, la gestione della privacy e dei dati personali emerge come uno dei temi pi\u00f9 dibattuti e cruciali. La recente iniziativa del Garante per la protezione dei dati personali in […]<\/p>\n","protected":false},"author":2,"featured_media":6276,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[44,1],"tags":[540,536,537,541,539,538,542],"class_list":["post-6274","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-diritto-rovescio","category-non-categorizzato","tag-consultazione-pubblica-gdpr","tag-gdpr-e-privacy-aziendale","tag-gestione-metadati-email","tag-protezione-dati-personali-lavoro","tag-regolamentazione-privacy-lavoratori","tag-sicurezza-informatica-in-ufficio","tag-statuto-dei-lavoratori-e-privacy"],"yoast_head":"\nMetadati, iI Garante ci ripensa? Forse no - PB Consulting<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/metadati-ii-garante-ci-ripensa-forse-no\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Metadati, iI Garante ci ripensa? Forse no\" \/>\n<meta property=\"og:description\" content=\"Introduzione : L’Importanza della Consultazione Pubblica nella Gestione della Privacy Aziendale In un’epoca in cui la digitalizzazione permea ogni aspetto della nostra vita lavorativa e personale, la gestione della privacy e dei dati personali emerge come uno dei temi pi\u00f9 dibattuti e cruciali. La recente iniziativa del Garante per la protezione dei dati personali in […]\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/metadati-ii-garante-ci-ripensa-forse-no\/\" \/>\n<meta property=\"og:site_name\" content=\"PB Consulting\" \/>\n<meta property=\"article:author\" content=\"https:\/\/www.facebook.com\/alberto.bozzo.9\" \/>\n<meta property=\"article:published_time\" content=\"2024-03-03T21:01:33+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2024-03-03T21:01:36+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/03\/zONZxdZoRG-0x512-1.jpeg\" \/>\n\t<meta property=\"og:image:width\" content=\"512\" \/>\n\t<meta property=\"og:image:height\" content=\"512\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Alberto Bozzo\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Alberto Bozzo\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"26 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/metadati-ii-garante-ci-ripensa-forse-no\/\",\"url\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/metadati-ii-garante-ci-ripensa-forse-no\/\",\"name\":\"Metadati, iI Garante ci ripensa? Forse no - PB Consulting\",\"isPartOf\":{\"@id\":\"https:\/\/www.consultingpb.com\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/metadati-ii-garante-ci-ripensa-forse-no\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/metadati-ii-garante-ci-ripensa-forse-no\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/03\/zONZxdZoRG-0x512-1.jpeg\",\"datePublished\":\"2024-03-03T21:01:33+00:00\",\"dateModified\":\"2024-03-03T21:01:36+00:00\",\"author\":{\"@id\":\"https:\/\/www.consultingpb.com\/#\/schema\/person\/09b2842207e1ed74e87559a8e584fd50\"},\"breadcrumb\":{\"@id\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/metadati-ii-garante-ci-ripensa-forse-no\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/metadati-ii-garante-ci-ripensa-forse-no\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/metadati-ii-garante-ci-ripensa-forse-no\/#primaryimage\",\"url\":\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/03\/zONZxdZoRG-0x512-1.jpeg\",\"contentUrl\":\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/03\/zONZxdZoRG-0x512-1.jpeg\",\"width\":512,\"height\":512},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/metadati-ii-garante-ci-ripensa-forse-no\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/www.consultingpb.com\/en\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Metadati, iI Garante ci ripensa? Forse no\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.consultingpb.com\/#website\",\"url\":\"https:\/\/www.consultingpb.com\/\",\"name\":\"PB Consulting\",\"description\":\"\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.consultingpb.com\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"en-US\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.consultingpb.com\/#\/schema\/person\/09b2842207e1ed74e87559a8e584fd50\",\"name\":\"Alberto Bozzo\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.consultingpb.com\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/417349770ce903a6b3447c4269e5e3cf91964bab004ff7a0336c8434fdf40b46?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/417349770ce903a6b3447c4269e5e3cf91964bab004ff7a0336c8434fdf40b46?s=96&d=mm&r=g\",\"caption\":\"Alberto Bozzo\"},\"sameAs\":[\"https:\/\/www.consultingpb.com\/\",\"https:\/\/www.facebook.com\/alberto.bozzo.9\",\"https:\/\/www.instagram.com\/ab_dirittorovescio\/\",\"https:\/\/www.linkedin.com\/in\/alberto-bozzo-57982b63\/\"],\"url\":\"https:\/\/www.consultingpb.com\/en\/blog\/author\/alberto\/\"}]}<\/script>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Metadati, iI Garante ci ripensa? Forse no - PB Consulting","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/metadati-ii-garante-ci-ripensa-forse-no\/","og_locale":"en_US","og_type":"article","og_title":"Metadati, iI Garante ci ripensa? Forse no","og_description":"Introduzione : L’Importanza della Consultazione Pubblica nella Gestione della Privacy Aziendale In un’epoca in cui la digitalizzazione permea ogni aspetto della nostra vita lavorativa e personale, la gestione della privacy e dei dati personali emerge come uno dei temi pi\u00f9 dibattuti e cruciali. La recente iniziativa del Garante per la protezione dei dati personali in […]","og_url":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/metadati-ii-garante-ci-ripensa-forse-no\/","og_site_name":"PB Consulting","article_author":"https:\/\/www.facebook.com\/alberto.bozzo.9","article_published_time":"2024-03-03T21:01:33+00:00","article_modified_time":"2024-03-03T21:01:36+00:00","og_image":[{"width":512,"height":512,"url":"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/03\/zONZxdZoRG-0x512-1.jpeg","type":"image\/jpeg"}],"author":"Alberto Bozzo","twitter_card":"summary_large_image","twitter_misc":{"Written by":"Alberto Bozzo","Est. reading time":"26 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/metadati-ii-garante-ci-ripensa-forse-no\/","url":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/metadati-ii-garante-ci-ripensa-forse-no\/","name":"Metadati, iI Garante ci ripensa? Forse no - PB Consulting","isPartOf":{"@id":"https:\/\/www.consultingpb.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/metadati-ii-garante-ci-ripensa-forse-no\/#primaryimage"},"image":{"@id":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/metadati-ii-garante-ci-ripensa-forse-no\/#primaryimage"},"thumbnailUrl":"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/03\/zONZxdZoRG-0x512-1.jpeg","datePublished":"2024-03-03T21:01:33+00:00","dateModified":"2024-03-03T21:01:36+00:00","author":{"@id":"https:\/\/www.consultingpb.com\/#\/schema\/person\/09b2842207e1ed74e87559a8e584fd50"},"breadcrumb":{"@id":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/metadati-ii-garante-ci-ripensa-forse-no\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/metadati-ii-garante-ci-ripensa-forse-no\/"]}]},{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/metadati-ii-garante-ci-ripensa-forse-no\/#primaryimage","url":"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/03\/zONZxdZoRG-0x512-1.jpeg","contentUrl":"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/03\/zONZxdZoRG-0x512-1.jpeg","width":512,"height":512},{"@type":"BreadcrumbList","@id":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/metadati-ii-garante-ci-ripensa-forse-no\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/www.consultingpb.com\/en\/"},{"@type":"ListItem","position":2,"name":"Metadati, iI Garante ci ripensa? Forse no"}]},{"@type":"WebSite","@id":"https:\/\/www.consultingpb.com\/#website","url":"https:\/\/www.consultingpb.com\/","name":"PB Consulting","description":"","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.consultingpb.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"en-US"},{"@type":"Person","@id":"https:\/\/www.consultingpb.com\/#\/schema\/person\/09b2842207e1ed74e87559a8e584fd50","name":"Alberto Bozzo","image":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.consultingpb.com\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/417349770ce903a6b3447c4269e5e3cf91964bab004ff7a0336c8434fdf40b46?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/417349770ce903a6b3447c4269e5e3cf91964bab004ff7a0336c8434fdf40b46?s=96&d=mm&r=g","caption":"Alberto Bozzo"},"sameAs":["https:\/\/www.consultingpb.com\/","https:\/\/www.facebook.com\/alberto.bozzo.9","https:\/\/www.instagram.com\/ab_dirittorovescio\/","https:\/\/www.linkedin.com\/in\/alberto-bozzo-57982b63\/"],"url":"https:\/\/www.consultingpb.com\/en\/blog\/author\/alberto\/"}]}},"_links":{"self":[{"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/posts\/6274","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/comments?post=6274"}],"version-history":[{"count":2,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/posts\/6274\/revisions"}],"predecessor-version":[{"id":6278,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/posts\/6274\/revisions\/6278"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/media\/6276"}],"wp:attachment":[{"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/media?parent=6274"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/categories?post=6274"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/tags?post=6274"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}