Questi dati vengono conservati per lunghi periodi di tempo. Nel resto del documento, questi dati saranno chiamati alternativamente “metadati di posta elettronica” o “log di posta elettronica”.<\/p>\n\n\n\n
Raccolta generalizzata metadati email dipendenti<\/h2>\n\n\n\n![\"cybersecurity360.it\"](\"https:\/\/dnewpydm90vfx.cloudfront.net\/wp-content\/uploads\/2022\/12\/Monitoraggio-dipendenti-email.jpg\")
<\/figure>\n<\/div>\n\n\nLe informazioni relative alle operazioni di invio, ricezione e smistamento dei messaggi possono includere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, ritrasmissione o ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in alcuni casi, a seconda del sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto.<\/p>\n\n\n\n
Questi metadati vengono spesso conservati per un periodo di tempo esteso.<\/p>\n\n\n\n
<\/a><\/a>In alcuni casi, \u00e8 stato riscontrato che i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi.<\/a> <\/p>\n\n\n\nCi\u00f2 solleva preoccupazioni riguardo alla conformit\u00e0 di tali pratiche con la normativa sulla protezione dei dati personali e con le disposizioni giuslavoristiche in materia di controllo a distanza dei lavoratori.<\/p>\n\n\n\n
<\/a><\/a>I metadati delle email, pur non entrando nel merito del contenuto dei messaggi, possono fornire informazioni dettagliate sulle attivit\u00e0 e le comunicazioni dei dipendenti, configurandosi come una forma di monitoraggio invasivo se raccolti e conservati in modo indiscriminato.<\/a><\/a> <\/p>\n\n\n\nIl Garante ha quindi ritenuto necessario intervenire per promuovere una maggiore consapevolezza tra i datori di lavoro pubblici e privati riguardo alle implicazioni di tali trattamenti e per fornire indicazioni volte a prevenire violazioni della privacy dei lavoratori.<\/a><\/a><\/p>\n\n\n\nMetadati Email: Definizione Tecnica<\/h2>\n\n\n\n![\"blog.cloudhq.net\"](\"https:\/\/blog.cloudhq.net\/wp-content\/uploads\/2022\/03\/how-to-find-metadata.png\")
<\/figure>\n<\/div>\n\n\nI metadati menzionati in questo documento (sia quelli di origine puramente tecnica sia quelli, come il campo “Oggetto”, determinati dagli utenti) sono registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volont\u00e0 dell’utente.<\/p>\n\n\n\n
Questi elementi corrispondono tecnicamente alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica, noti come MTA (Mail Transfer Agent).<\/a><\/a> <\/p>\n\n\n\nQuesti metadati vengono prodotti durante l’interazione tra i diversi server coinvolti nel processo di invio e ricezione delle email, nonch\u00e9 tra i server e i client, ovvero le postazioni terminali utilizzate dagli utenti per inviare i messaggi e consultare la posta in arrivo accedendo alle caselle di posta elettronica, definite negli standard tecnici come MUA (Mail User Agent).<\/p>\n\n\n\n
I metadati di cui parla il documento sono le informazioni registrate nei log dei sistemi server che gestiscono la posta elettronica, chiamati MTA (Mail Transfer Agent). Questi metadati vengono generati durante l’interazione tra i vari server che inviano e ricevono email e tra i server e i client, ovvero i dispositivi usati dagli utenti per inviare e ricevere email, definiti come MUA (Mail User Agent).<\/p>\n\n\n\n
Questi metadati sono utili per vari scopi, come la sicurezza e la gestione della rete, ma possono anche essere sensibili dal punto di vista della privacy, motivo per cui il Garante della Privacy li monitora attentamente.<\/p>\n\n\n\n
<\/a><\/a>I metadati MTA forniscono dettagli sul percorso seguito da un messaggio di posta elettronica e sono necessari per il corretto funzionamento del servizio email stesso.<\/a> <\/p>\n\n\n\nEssi includono informazioni come gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei computer coinvolti nell’invio del messaggio, gli orari di invio, ritrasmissione e ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in alcuni casi, anche l’oggetto del messaggio.<\/p>\n\n\n\n
<\/a><\/a><\/a>Sebbene i metadati non entrino nel merito del contenuto dei messaggi, la loro raccolta e conservazione sistematica e prolungata pu\u00f2 sollevare problematiche in termini di protezione dei dati personali dei dipendenti e di controllo a distanza dell’attivit\u00e0 lavorativa.<\/a><\/a> <\/p>\n\n\n\nIl Garante ha quindi ritenuto necessario fornire indicazioni specifiche riguardo al trattamento di tali informazioni nel contesto lavorativo, al fine di garantire il rispetto dei principi di limitazione delle finalit\u00e0, minimizzazione dei dati e protezione fin dalla progettazione e per impostazione predefinita sanciti dal GDPR.<\/a><\/a><\/p>\n\n\n\nMail Transfer Agent (MTA) Explained<\/h2>\n\n\n\n![\"mailtrap.io\"](\"https:\/\/mailtrap.io\/wp-content\/uploads\/2019\/10\/mailtrap-blog-MUA.png?fit=640%2C280&ssl=1\")
<\/figure>\n<\/div>\n\n\nUn Mail Transfer Agent (MTA), noto anche come Message Transfer Agent o mail relay, \u00e8 un software che si occupa del trasferimento delle email tra i computer del mittente e del destinatario.<\/a><\/a> <\/p>\n\n\n\nL’MTA svolge un ruolo essenziale nel sistema di gestione dei messaggi di posta elettronica su Internet, occupandosi di tutto ci\u00f2 che avviene tra l’invio e la consegna dell’email nella casella del destinatario.<\/p>\n\n\n\n
<\/a><\/a>Quando un’email viene inviata, l’MTA la riceve dal Mail Submission Agent (MSA), che a sua volta l’ha ricevuta dal Mail User Agent (MUA), ovvero il client di posta elettronica utilizzato dall’utente.<\/a> Una volta che l’MTA ha preso in carico l’email, si occupa del relaying, ovvero dell’inoltro del messaggio ad altri MTA se il destinatario non \u00e8 ospitato localmente, fino a raggiungere il Mail Delivery Agent (MDA) che consegner\u00e0 l’email nella casella del destinatario.<\/a><\/a>Gli MTA utilizzano il protocollo SMTP (Simple Mail Transfer Protocol) per l’invio delle email e possono impiegare estensioni come ESMTP per funzionalit\u00e0 avanzate.<\/a><\/a> <\/p>\n\n\n\nOperano secondo un modello store-and-forward, mettendo in coda la posta in uscita fino alla conferma di consegna o alla scadenza di limiti temporali predefiniti.<\/a><\/a> <\/p>\n\n\n\nIn caso di mancata consegna entro i termini stabiliti, l’email viene restituita al client di posta.<\/p>\n\n\n\n
<\/a>Gli MTA svolgono quindi un ruolo centrale nella deliverability delle email, gestendo la reputazione del mittente, filtrando lo spam, autenticando le email, ottimizzando i percorsi di consegna e gestendo gli errori di consegna.<\/a><\/a><\/a> <\/p>\n\n\n\nPossono contribuire a proteggere e rafforzare la reputazione del mittente attraverso il warm-up graduale di nuovi indirizzi IP, la configurazione di flussi di invio conformi ai limiti dei domini destinatari e il reinvio delle email in caso di greylisting.<\/p>\n\n\n\n
<\/a><\/a>La scelta dell’MTA pi\u00f9 adatto dipende da diversi fattori, tra cui le esigenze specifiche dell’organizzazione, il volume di email da gestire, le funzionalit\u00e0 richieste e il budget disponibile.<\/a><\/a> <\/p>\n\n\n\nTra gli MTA pi\u00f9 diffusi vi sono Sendmail\/Proofpoint, Postfix, Exim, OpenSMTP, Mutt, Alpine e Qmail, ciascuno con caratteristiche e punti di forza specifici.<\/p>\n\n\n\n
I Metadati<\/strong> Sono come le “impronte digitali” delle email. Non contengono il contenuto delle email, ma informazioni su di esse, come chi l’ha inviata, a chi \u00e8 stata inviata, quando \u00e8 stata inviata, ecc. MTA (Mail Transfer Agent)<\/strong>: \u00c8 il “postino” digitale. \u00c8 il software che prende la tua email e la consegna al server di destinazione. MUA (Mail User Agent)<\/strong>: \u00c8 il “client di posta” che usi, come Outlook o Gmail. \u00c8 il software che usi per leggere e inviare email.<\/p>\n\n\n\nEsempi<\/h3>\n\n\n\n\n- Invio di un’email dal lavoro<\/strong>: Quando invii un’email dal tuo account aziendale, il MTA registra che hai inviato un’email al tuo collega alle 10:00 del mattino. Questo \u00e8 un metadato.<\/li>\n\n\n\n
- Ricezione di un’email su Gmail<\/strong>: Quando ricevi un’email su Gmail, il MUA (Gmail) registra che hai ricevuto un’email da un amico alle 14:30. Questo \u00e8 un altro esempio di metadato.<\/li>\n<\/ol>\n\n\n\n
<\/a><\/a><\/p>\n\n\n\nMetadati email: registrazione automatica<\/h2>\n\n\n\n![\"ictsecuritymagazine.com\"](\"https:\/\/www.ictsecuritymagazine.com\/wp-content\/uploads\/metadati-email-1280x720.jpg\")
<\/figure>\n<\/div>\n\n\nI metadati delle email a cui fa riferimento il documento di indirizzo del Garante comprendono una vasta gamma di informazioni relative alle operazioni di invio, ricezione e smistamento dei messaggi di posta elettronica. Questi possono includere:<\/p>\n\n\n\n
\n- Gli indirizzi email del mittente e del destinatario<\/li>\n\n\n\n
- Gli indirizzi IP dei server o dei computer client coinvolti nell’instradamento del messaggio<\/li>\n\n\n\n
- Gli orari di invio, ritrasmissione e ricezione del messaggio<\/li>\n\n\n\n
- La dimensione del messaggio di posta elettronica<\/li>\n\n\n\n
- La presenza e la dimensione di eventuali allegati<\/li>\n\n\n\n
- In alcuni casi, a seconda del sistema di gestione della posta utilizzato, anche l’oggetto del messaggio spedito o ricevuto.<\/a><\/a><\/a><\/li>\n<\/ul>\n\n\n\n
\u00c8 importante sottolineare che questi metadati, sia quelli di natura prettamente tecnica sia quelli determinati dagli utenti come l’oggetto, vengono registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione o dalla volont\u00e0 dell’utilizzatore.<\/a><\/a> <\/p>\n\n\n\nCi\u00f2 significa che tali informazioni vengono raccolte e conservate in modo sistematico, senza che l’utente ne sia necessariamente consapevole o possa controllarle.<\/p>\n\n\n\n
La raccolta generalizzata e la conservazione prolungata di questi metadati sollevano preoccupazioni in termini di protezione dei dati personali dei dipendenti e di potenziale controllo a distanza dell’attivit\u00e0 lavorativa, aspetti sui quali il Garante ha ritenuto necessario fornire indicazioni specifiche.<\/a><\/a><\/a><\/p>\n\n\n\nMetadati Email vs Envelope<\/h2>\n\n\n\n![\"iusletter.com\"](\"https:\/\/iusletter.com\/wp-content\/uploads\/InfoG_11.03-1024x724.png\")
<\/figure>\n<\/div>\n\n\n\u00c8 importante distinguere i metadati delle email, come intesi nel documento di indirizzo del Garante, dalle informazioni contenute nel corpo del messaggio (body-part) o integrate nell’envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici.<\/p>\n\n\n\n
Gli stessi metadati come qui intesi non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro \u201cbody-part\u201d (corpo del messaggio) o anche in essi integrate – ancorch\u00e9 talvolta non immediatamente visibili agli utenti dei software \u201cclient\u201d di posta elettronica (i cosiddetti MUA – Mail User Agent) – a formare il cosiddetto envelope, ovvero l\u2019insieme delle intestazioni tecniche strutturate che documentano l\u2019instradamento del messaggio, la sua provenienza e altri parametri tecnici. <\/p>\n\n\n\n
I metadati di cui parliamo in questo documento non devono essere confusi con il contenuto effettivo delle email (cio\u00e8 il testo del messaggio). I metadati includono informazioni come gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server coinvolti, gli orari di invio e ricezione, ecc. Questi dati vengono registrati automaticamente dai sistemi di posta elettronica.<\/em><\/p>\n\n\n\nD’altra parte, le informazioni nel corpo del messaggio (body-part) o nell’envelope (che contiene dettagli tecnici sull’instradamento e la provenienza del messaggio) fanno parte integrante del messaggio stesso. Anche se l’envelope contiene metadati, essi sono inseparabili dal messaggio e rimangono sotto il controllo dell’utente che invia o riceve l’email.<\/em><\/p>\n\n\n\nIn sintesi:<\/p>\n\n\n\n
\n- Metadati<\/strong>: Informazioni tecniche registrate automaticamente (es. indirizzi email, orari).<\/li>\n\n\n\n
- Body-part<\/strong>: Il testo effettivo del messaggio.<\/li>\n\n\n\n
- Envelope<\/strong>: Dettagli tecnici sull’instradamento del messaggio, parte del messaggio stesso.<\/li>\n<\/ul>\n\n\n\n
Return-Path: <mittente@example.com>\nReceived: from mail.example.com (mail.example.com [192.0.2.1])\n by mx.google.com with ESMTP id xyz123abc456\n for <destinatario@example.com>;\n Fri, 15 Jun 2024 10:15:30 -0700 (PDT)\nReceived: from [192.0.2.2] (helo=mail.example.com)\n by mail.example.com with esmtpa (Exim 4.85)\n (envelope-from <mittente@example.com>)\n id 1XyZaB-0001cD-1A\n for destinatario@example.com; Fri, 15 Jun 2024 10:15:28 -0700\nDate: Fri, 15 Jun 2024 10:15:28 -0700\nFrom: Mittente <mittente@example.com>\nTo: Destinatario <destinatario@example.com>\nSubject: Esempio di envelope di un'email\nMessage-ID: <1234567890@mail.example.com><\/code><\/pre>\n\n\n\nSpiegazione<\/h3>\n\n\n\n\n- Return-Path<\/strong>: Indica l’indirizzo email a cui devono essere inviate le risposte automatiche (ad esempio, se l’email non pu\u00f2 essere consegnata).<\/li>\n\n\n\n
- Received<\/strong>: Mostra il percorso che l’email ha seguito attraverso i server di posta elettronica per arrivare al destinatario. Ogni riga “Received” rappresenta un passaggio attraverso un server.<\/li>\n\n\n\n
- Date<\/strong>: La data e l’ora in cui l’email \u00e8 stata inviata.<\/li>\n\n\n\n
- From<\/strong>: L’indirizzo email del mittente.<\/li>\n\n\n\n
- To<\/strong>: L’indirizzo email del destinatario.<\/li>\n\n\n\n
- Subject<\/strong>: L’oggetto dell’email.<\/li>\n\n\n\n
- Message-ID<\/strong>: Un identificatore unico per l’email.<\/li>\n\n\n\n
- <\/li>\n<\/ul>\n\n\n\n
Le informazioni contenute nell\u2019envelope, ancorch\u00e9 corrispondenti a metadati registrati automaticamente nei log dei servizi di posta, sono inscindibili dal messaggio di cui fanno parte integrante e che rimane sotto l\u2019esclusivo controllo dell\u2019utente (sia esso il mittente o il destinatario dei messaggi).<\/p>\n\n\n\n
I metadati presi in considerazione dal Garante nel contesto della posta elettronica includono:<\/strong><\/p>\n\n\n\n\n- Indirizzi email<\/strong> del mittente e del destinatario.<\/li>\n\n\n\n
- Indirizzi IP<\/strong> dei server o dei client coinvolti nell’instradamento del messaggio.<\/li>\n\n\n\n
- Orari<\/strong> di invio, ritrasmissione o ricezione del messaggio.<\/li>\n\n\n\n
- Dimensione del messaggio<\/strong>.<\/li>\n\n\n\n
- Presenza e dimensione di eventuali allegati<\/strong>.<\/li>\n\n\n\n
- Oggetto del messaggio<\/strong> (in alcuni casi, a seconda del sistema di gestione del servizio di posta elettronica utilizzato).<\/li>\n<\/ol>\n\n\n\n
Questi metadati sono registrati automaticamente dai sistemi di posta elettronica e possono fornire informazioni dettagliate sull’utilizzo degli account di posta elettronica dei dipendenti, conservando tali dati per un lungo periodo di tempo.<\/p>\n\n\n\n
A differenza dei metadati registrati nei log dei server di posta, che vengono raccolti e conservati indipendentemente dalla volont\u00e0 degli utenti, le informazioni contenute nell’envelope sono strettamente legate al messaggio e non possono essere trattate separatamente da esso.<\/p>\n\n\n\n
<\/a><\/a>Pertanto, mentre i metadati dei log possono sollevare problematiche in termini di protezione dei dati personali e controllo a distanza se raccolti e conservati in modo generalizzato e prolungato, le informazioni dell’envelope rientrano nella sfera di controllo dell’utente e sono tutelate in quanto parte integrante della comunicazione.<\/p>\n\n\n\n<\/a><\/a><\/a>Il Garante ha quindi ritenuto necessario fare questa distinzione per chiarire l’ambito di applicazione delle indicazioni fornite nel documento di indirizzo, che si concentrano specificamente sui metadati registrati automaticamente dai sistemi di posta elettronica e non sulle informazioni contenute nei messaggi stessi.<\/p>\n\n\n\nLe indicazioni contenute nel documento del garante riguardo ai tempi di conservazione dei metadati, come definiti sopra,<\/strong> non si applicano ai contenuti dei messaggi di posta elettronica (n\u00e9 alle informazioni tecniche che ne fanno parte integrante). Questi contenuti rimangono sotto il controllo dell’utente\/lavoratore all’interno della casella di posta elettronica a lui assegnata.<\/p>\n\n\n\nQuesto documento non introduce nuove regole o obblighi per i responsabili del trattamento dei dati. <\/p>\n\n\n\n
Il suo scopo \u00e8 fornire una panoramica delle normative esistenti in questo ambito specifico, basandosi su precedenti decisioni dell’Autorit\u00e0. <\/strong><\/p>\n\n\n\nL’obiettivo \u00e8 richiamare l’attenzione<\/strong> su alcuni punti di intersezione tra le leggi sulla protezione dei dati e le norme che regolano l’uso delle tecnologie nei luoghi di lavoro.<\/p>\n\n\n\nIn questa ottica, l\u2019Autorit\u00e0 fornisce ai datori di lavoro delle linee guida sulla possibilit\u00e0 di trattare tali informazioni per garantire il corretto funzionamento e l’uso regolare del sistema di posta elettronica, inclusa la sicurezza informatica necessaria. <\/p>\n\n\n\n
Questo pu\u00f2 essere fatto senza dover attivare la procedura di garanzia prevista dall’art. 4, comma 1, della legge 20\/5\/1970, n. 300, come richiamato dall’art. 114 del Codice.<\/strong><\/p>\n\n\n\nDispositivo dell’art. 114 Codice della privacy<\/h3>\n\n\n\n
1. Resta fermo quanto disposto dall’articolo 4 della legge 20 maggio 1970, n. 300.<\/em><\/p>\n\n\n\nStante la natura orientativa del documento di indirizzo, dallo stesso non discendono nuovi adempimenti o responsabilit\u00e0.<\/strong><\/p>\n\n\n\nA seguito delle osservazioni e delle proposte ricevute dal Garante durante la consultazione pubblica a cui \u00e8 stato sottoposto questo documento (provvedimento del 22 febbraio 2024, n. 127, doc. web n. 9987885; Gazzetta Ufficiale n. 64 del 16 marzo 2024), sono state apportate alcune modifiche e integrazioni al documento di indirizzo. <\/p>\n\n\n\n
<\/a><\/a><\/p>\n\n\n\nTutela Costituzionale Email Dipendenti<\/h3>\n\n\n\n![\"altalex.com\"](\"https:\/\/www.altalex.com\/~\/media\/Images\/Lex\/Informatica\/email-GI-128846192%20jpg.jpg?h=190&w=250\")
<\/figure>\n<\/div>\n\n\nIl Garante per la protezione dei dati personali ha costantemente affermato che il contenuto dei messaggi di posta elettronica, cos\u00ec come i dati esteriori delle comunicazioni e i file allegati, riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche a livello costituzionale.<\/p>\n\n\n\n
<\/a><\/a><\/a> In particolare, gli articoli 2 e 15 della Costituzione italiana proteggono il nucleo essenziale della dignit\u00e0 della persona e il pieno sviluppo della sua personalit\u00e0 nelle formazioni sociali.<\/a><\/a>Ci\u00f2 implica che, anche nel contesto lavorativo pubblico e privato, sussista una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza.<\/a><\/a><\/a> <\/p>\n\n\n\nQuesto principio \u00e8 stato ribadito dal Garante nelle “Linee guida per posta elettronica e Internet” del 1\u00b0 marzo 2007 (punto 5.2 lett. b), doc. web n. 1387522), nonch\u00e9 in numerosi provvedimenti successivi, tra cui il provvedimento del 4 dicembre 2019, n. 216 (doc. web n. 9215890) e i precedenti in esso citati.<\/p>\n\n\n\n
Linee guida per posta elettronica e Internet (1\u00b0 marzo 2007)<\/h3>\n\n\n\nContenuti Principali:<\/h4>\n\n\n\n
Utilizzo della Posta Elettronica<\/strong>:<\/p>\n\n\n\n\n- <\/li>\n<\/ol>\n\n\n\n
\n- Le linee guida stabiliscono che l’uso della posta elettronica aziendale deve essere conforme alle politiche aziendali e alle normative sulla privacy.<\/li>\n\n\n\n
- Gli utenti devono essere informati delle modalit\u00e0 di monitoraggio delle email.<\/li>\n<\/ul>\n\n\n\n
Navigazione in Internet<\/strong>:<\/p>\n\n\n\n\n- <\/li>\n<\/ol>\n\n\n\n
\n- L’accesso a Internet deve essere regolamentato per evitare abusi e garantire la sicurezza delle informazioni.<\/li>\n\n\n\n
- Le linee guida suggeriscono l’uso di strumenti di filtraggio per limitare l’accesso a siti non pertinenti all’attivit\u00e0 lavorativa.<\/li>\n<\/ul>\n\n\n\n
Monitoraggio e Controllo<\/strong>:<\/p>\n\n\n\n\n- <\/li>\n<\/ol>\n\n\n\n
\n- Il monitoraggio delle attivit\u00e0 online deve essere proporzionato e rispettare la privacy dei dipendenti.<\/li>\n\n\n\n
- Le aziende devono adottare misure trasparenti e informare i dipendenti sulle modalit\u00e0 e finalit\u00e0 del monitoraggio.<\/li>\n<\/ul>\n\n\n\n
Sicurezza dei Dati<\/strong>:<\/p>\n\n\n\n\n- <\/li>\n<\/ol>\n\n\n\n
\n- \u00c8 essenziale implementare misure di sicurezza adeguate per proteggere i dati personali trattati attraverso email e Internet.<\/li>\n\n\n\n
- Le linee guida raccomandano l’uso di crittografia e altre tecniche di sicurezza.<\/li>\n<\/ul>\n\n\n\n
Provvedimento del 4 dicembre 2019, n. 216<\/h3>\n\n\n\nContenuti Principali:<\/h4>\n\n\n\n
Trattamento dei Dati Personali<\/strong>:<\/p>\n\n\n\n\n- <\/li>\n<\/ol>\n\n\n\n
\n- Il provvedimento ribadisce l’importanza di trattare i dati personali in conformit\u00e0 con il GDPR e le normative nazionali.<\/li>\n\n\n\n
- Viene sottolineata la necessit\u00e0 di ottenere il consenso esplicito degli interessati per il trattamento dei loro dati.<\/li>\n<\/ul>\n\n\n\n
Metadati di Posta Elettronica<\/strong>:<\/p>\n\n\n\n\n- <\/li>\n<\/ol>\n\n\n\n
\n- Il Garante ha evidenziato i rischi associati alla raccolta e conservazione dei metadati delle email.<\/li>\n\n\n\n
- Sono state introdotte prescrizioni specifiche per limitare la raccolta di metadati e garantire la loro protezione.<\/li>\n<\/ul>\n\n\n\n
Informazione e Trasparenza<\/strong>:<\/p>\n\n\n\n\n- <\/li>\n<\/ol>\n\n\n\n
\n- Le aziende devono fornire informazioni chiare e trasparenti agli utenti riguardo al trattamento dei loro dati.<\/li>\n\n\n\n
- Devono essere specificate le finalit\u00e0 del trattamento e i diritti degli interessati.<\/li>\n<\/ul>\n\n\n\n
Misure di Sicurezza<\/strong>:<\/p>\n\n\n\n\n- <\/li>\n<\/ol>\n\n\n\n
\n- Il provvedimento impone l’adozione di misure di sicurezza tecniche e organizzative per proteggere i dati personali.<\/li>\n\n\n\n
- Viene raccomandata la revisione periodica delle politiche di sicurezza per adattarle alle nuove minacce.<\/li>\n<\/ul>\n\n\n\n
Riassunto per Punti<\/h3>\n\n\n\n
Linee guida per posta elettronica e Internet (1\u00b0 marzo 2007)<\/strong>:<\/p>\n\n\n\n\n- <\/li>\n<\/ol>\n\n\n\n
\n- Uso conforme della posta elettronica aziendale.<\/li>\n\n\n\n
- Regolamentazione dell’accesso a Internet.<\/li>\n\n\n\n
- Monitoraggio proporzionato e trasparente.<\/li>\n\n\n\n
- Misure di sicurezza per proteggere i dati.<\/li>\n<\/ul>\n\n\n\n
Provvedimento del 4 dicembre 2019, n. 216<\/strong>:<\/p>\n\n\n\n\n- <\/li>\n<\/ol>\n\n\n\n
\n- Conformit\u00e0 con GDPR e normative nazionali.<\/li>\n\n\n\n
- Limitazione e protezione dei metadati delle email.<\/li>\n\n\n\n
- Trasparenza e informazione agli utenti.<\/li>\n\n\n\n
- Adozione di misure di sicurezza tecniche e organizzative.<\/li>\n\n\n\n
- <\/li>\n<\/ul>\n\n\n\n
Misure di Sicurezza<\/strong>
Le misure di sicurezza richieste includono l’adozione di tecnologie di crittografia per proteggere i dati personali durante il trasferimento e la conservazione. <\/p>\n\n\n\n\u00c8 necessario implementare sistemi di autenticazione robusti per controllare l’accesso ai dati e garantire che solo il personale autorizzato possa accedere alle informazioni sensibili. <\/p>\n\n\n\n
Le aziende devono anche effettuare regolari valutazioni del rischio e audit di sicurezza per identificare e mitigare potenziali vulnerabilit\u00e0. Viene raccomandato l’uso di firewall e software antivirus aggiornati per proteggere i sistemi da attacchi esterni. Inoltre, \u00e8 importante predisporre piani di risposta agli incidenti per gestire eventuali violazioni dei dati in modo tempestivo ed efficace.<\/p>\n\n\n\n
Prescrizioni del Garante<\/strong>
Il Garante per la protezione dei dati personali ha stabilito che le aziende devono informare chiaramente gli utenti sulle modalit\u00e0 e finalit\u00e0 del trattamento dei loro dati personali, inclusi i metadati delle email. <\/p>\n\n\n\n\u00c8 obbligatorio ottenere il consenso esplicito degli interessati prima di trattare i loro dati. <\/p>\n\n\n\n
Le organizzazioni devono adottare politiche trasparenti e fornire informazioni dettagliate sugli strumenti di monitoraggio utilizzati. <\/p>\n\n\n\n
Il Garante ha anche imposto la limitazione della raccolta dei metadati e ne ha regolamentato la conservazione, specificando che devono essere conservati solo per il tempo strettamente necessario alle finalit\u00e0 dichiarate. <\/p>\n\n\n\n
Le aziende devono garantire che i dati personali siano trattati in modo lecito, corretto e trasparente, rispettando i diritti degli interessati.<\/p>\n\n\n\n
Obblighi Imposti dalla Normativa<\/strong><\/p>\n\n\n\n
La normativa impone alle aziende l’obbligo di conformarsi al GDPR, che include la protezione dei dati personali e la tutela dei diritti degli interessati. Le organizzazioni devono designare un Responsabile della Protezione dei Dati (DPO) se il trattamento dei dati \u00e8 su larga scala o coinvolge categorie particolari di dati. <\/p>\n\n\n\n
\u00c8 obbligatorio effettuare una valutazione d’impatto sulla protezione dei dati (DPIA)<\/strong> per identificare e mitigare i rischi associati al trattamento dei dati personali. Le aziende devono garantire la portabilit\u00e0 dei dati, permettendo agli interessati di trasferire i loro dati a un altro fornitore di servizi. <\/p>\n\n\n\n\u00c8 necessario rispettare il principio di minimizzazione dei dati, raccogliendo solo i dati strettamente necessari per le finalit\u00e0 dichiarate. <\/p>\n\n\n\n
Le organizzazioni sono tenute a notificare eventuali violazioni dei dati all’autorit\u00e0 di controllo entro 72 ore dalla scoperta e informare gli interessati senza ingiustificato ritardo se la violazione comporta un rischio elevato per i loro diritti e libert\u00e0.<\/p>\n\n\n\n
<\/a><\/a><\/a>La tutela della segretezza della corrispondenza elettronica nel contesto lavorativo \u00e8 quindi un diritto fondamentale dei lavoratori, che deve essere rispettato dai datori di lavoro nella gestione dei sistemi di posta elettronica aziendale.<\/a><\/a> <\/p>\n\n\n\nQualsiasi forma di controllo o monitoraggio delle comunicazioni email dei dipendenti deve essere effettuata nel rispetto di tali garanzie e dei principi di protezione dei dati personali sanciti dal GDPR, come la limitazione delle finalit\u00e0, la minimizzazione dei dati e la trasparenza nei confronti degli interessati.<\/a><\/a><\/a><\/p>\n\n\n\nLiceit\u00e0 trattamento metadati email dipendenti<\/h3>\n\n\n\n![\"studiolegalesilva.it\"](\"https:\/\/studiolegalesilva.it\/wp-content\/uploads\/2024\/02\/Metadati-e-aziende-scaled.jpeg\")
<\/figure>\n<\/div>\n\n\nL’impiego di programmi e servizi informatici per la gestione della posta elettronica nel contesto lavorativo d\u00e0 luogo a “trattamenti<\/strong>” di dati personali riferiti a “interessati” identificati o identificabili, come definiti dall’art. 4, par. 1, nn. 1) e 2) del GDPR.<\/a><\/a> <\/p>\n\n\n\nPertanto, il datore di lavoro, in qualit\u00e0 di titolare del trattamento, \u00e8 tenuto a verificare la sussistenza di un idoneo presupposto di liceit\u00e0<\/strong>, ai sensi degli artt. 5, par. 1, lett. a), e 6 del GDPR, prima di effettuare trattamenti di dati personali dei lavoratori attraverso tali strumenti.<\/p>\n\n\n\n<\/a><\/a>Inoltre, il datore di lavoro deve rispettare le condizioni per il lecito impiego di strumenti tecnologici nel contesto lavorativo, come stabilito dall’art. 88, par. 2, del GDPR.<\/strong><\/a><\/a> <\/p>\n\n\n\nIn particolare, \u00e8 necessario verificare sempre la sussistenza dei presupposti di liceit\u00e0 previsti dall’art. 4 dello Statuto dei Lavoratori (Legge 300\/1970), richiamato dall’art. 114 del Codice Privacy, nonch\u00e9 il rispetto delle disposizioni che vietano al datore di acquisire e trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o afferenti alla sua sfera privata (art. 8 Statuto dei Lavoratori e art. 10 D.Lgs. 276\/2003, richiamato dall’art. 113 del Codice Privacy).<\/p>\n\n\n\n
<\/a><\/a><\/a>Gli artt. 113 e 114 del Codice Privacy sono considerati, nell’ordinamento italiano, disposizioni pi\u00f9 specifiche e di maggiore garanzia rispetto all’art. 88 del GDPR.<\/strong><\/a><\/a> <\/p>\n\n\n\nLa loro osservanza costituisce una condizione di liceit\u00e0 del trattamento e la loro violazione comporta, oltre all’applicazione di sanzioni amministrative pecuniarie ai sensi dell’art. 83, par. 5, lett. d) del GDPR, anche il possibile insorgere di responsabilit\u00e0 penali (art. 171 del Codice Privacy).<\/a><\/a><\/a><\/p>\n\n\n\nObblighi Titolare Trattamento Metadati Email<\/h3>\n\n\n\n![\"bluefoxstudio.it\"](\"https:\/\/www.bluefoxstudio.it\/media\/k2\/items\/cache\/1698b847c2e4fe98c05adcdc9d420590_XL.jpg\")
<\/figure>\n<\/div>\n\n\nIl titolare del trattamento dei dati personali, oltre a rispettare i presupposti di liceit\u00e0, \u00e8 tenuto a osservare i principi generali del trattamento sanciti dagli artt. 5, 24 e 25 del GDPR, nonch\u00e9 a porre in essere tutti gli adempimenti previsti dalle disposizioni normative in materia di protezione dei dati personali, come stabilito dagli artt. 12, 13, 14, 30, 32 e 35 del Regolamento.<\/p>\n\n\n\n
<\/a><\/a>In particolare, il titolare deve fornire agli interessati, in modo corretto e trasparente, una chiara rappresentazione del complessivo trattamento effettuato<\/strong>, consentendo loro di disporre di tutti gli elementi informativi essenziali previsti dal GDPR e di essere pienamente consapevoli, prima dell’inizio del trattamento, delle caratteristiche dello stesso.<\/a><\/a> <\/p>\n\n\n\nCi\u00f2 \u00e8 stato ribadito anche dalla Corte Europea dei Diritti dell’Uomo nella sentenza del 5 settembre 2017 (Ricorso n. 61496\/08 – Causa Barbulescu c. Romania, spec. par. n. 133 e 140).<\/p>\n\n\n\n
<\/a><\/a><\/p>\n\n\n\nNon ho trovato il contenuto specifico della sentenza della Corte Europea dei Diritti dell’Uomo del 5 settembre 2017 nei memo. Tuttavia, posso fornirti una parafrasi basata su informazioni generali.<\/p>\n\n\n\n
La sentenza ha sottolineato l’importanza del rispetto della vita privata e familiare, stabilendo che qualsiasi interferenza da parte dello Stato deve essere giustificata e proporzionata. <\/p>\n\n\n\n
Inoltre, la Corte ha evidenziato che le misure di sorveglianza e monitoraggio devono essere accompagnate da adeguate salvaguardie per prevenire abusi e garantire che i diritti degli individui siano protetti. <\/p>\n\n\n\n
La decisione ha riaffermato che le autorit\u00e0 devono fornire trasparenza e motivazioni chiare per le loro azioni, assicurando che ogni misura intrapresa sia conforme ai principi della Convenzione Europea dei Diritti dell’Uomo.<\/p>\n\n\n\n
Inoltre, in attuazione del principio di “responsabilizzazione” (art. 5, par. 2, e 24 del GDPR), spetta al titolare valutare se i trattamenti che intende realizzare possano presentare un rischio elevato<\/strong> per i diritti e le libert\u00e0 delle persone fisiche, in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalit\u00e0 perseguite.<\/a><\/a> <\/p>\n\n\n\nIn tal caso, \u00e8 necessaria una preventiva valutazione d’impatto sulla protezione dei dati personali (DPIA), come previsto dai considerando 90 e dagli artt. 35 e 36 del GDPR.<\/p>\n\n\n\n
Le linee guida concernenti la valutazione di impatto sulla protezione dei dati” del Gruppo di lavoro art. 29 (WP 248 del 4 aprile 2017)<\/h3>\n\n\n\n
Non ho trovato ulteriori dettagli specifici sulle “Linee guida concernenti la valutazione di impatto sulla protezione dei dati” del Gruppo di lavoro art. 29 (WP 248 del 4 aprile 2017) nei memo. Tuttavia, posso continuare la parafrasi basata su informazioni generali.<\/p>\n\n\n\n
Parafrasi delle Linee Guida sulla Valutazione di Impatto sulla Protezione dei Dati (DPIA)<\/h3>\n\n\n\n
Le linee guida del Gruppo di lavoro art. 29 (WP 248 del 4 aprile 2017) forniscono una struttura chiara per le organizzazioni su come condurre una Valutazione di Impatto sulla Protezione dei Dati (DPIA). <\/p>\n\n\n\n
Queste linee guida sono essenziali per garantire che le attivit\u00e0 di trattamento dei dati siano conformi al Regolamento Generale sulla Protezione dei Dati (GDPR).<\/p>\n\n\n\n
Processo di DPIA<\/strong>
Il processo di DPIA deve essere sistematico e comprensivo, includendo i seguenti passaggi:<\/p>\n\n\n\n\n- Descrizione del Trattamento dei Dati<\/strong>: Fornire una descrizione dettagliata delle operazioni di trattamento, le finalit\u00e0 e i legittimi interessi perseguiti dal titolare del trattamento.<\/li>\n\n\n\n
- Valutazione della Necessit\u00e0 e Proporzionalit\u00e0<\/strong>: Analizzare se il trattamento \u00e8 necessario e proporzionato rispetto alle finalit\u00e0 dichiarate.<\/li>\n\n\n\n
- Valutazione dei Rischi<\/strong>: Identificare e valutare i rischi per i diritti e le libert\u00e0 degli interessati, considerando la natura, l’ambito, il contesto e le finalit\u00e0 del trattamento.<\/li>\n\n\n\n
- Misure di Mitigazione<\/strong>: Proporre misure tecniche e organizzative per mitigare i rischi identificati, come la pseudonimizzazione, la minimizzazione dei dati e la sicurezza dei dati.<\/li>\n<\/ol>\n\n\n\n
Coinvolgimento degli Stakeholder<\/strong><\/p>\n\n\n\n
Le linee guida raccomandano di coinvolgere diverse parti interessate nel processo di DPIA, inclusi il Responsabile della Protezione dei Dati (DPO), i responsabili del trattamento e, se necessario, gli interessati stessi. <\/p>\n\n\n\n
Questo approccio collaborativo aiuta a identificare e affrontare potenziali problemi di privacy in modo pi\u00f9 efficace.<\/p>\n\n\n\n
Documentazione e Trasparenza<\/strong><\/p>\n\n\n\n
\u00c8 fondamentale documentare ogni fase della DPIA e mantenere un registro delle valutazioni effettuate. Le organizzazioni devono essere trasparenti riguardo ai risultati della DPIA e alle misure adottate per mitigare i rischi, informando gli interessati sulle modalit\u00e0 di trattamento dei loro dati personali.<\/p>\n\n\n\n
Revisione e Aggiornamento<\/strong><\/p>\n\n\n\n
La DPIA non \u00e8 un’attivit\u00e0 una tantum ma deve essere rivista e aggiornata regolarmente, specialmente quando ci sono cambiamenti significativi nelle operazioni di trattamento o nei rischi associati. <\/p>\n\n\n\n
Le organizzazioni devono stabilire un processo continuo di monitoraggio e revisione delle DPIA per garantire che rimangano pertinenti e efficaci.<\/p>\n\n\n\n
Consultazione con l’Autorit\u00e0 di Controllo<\/strong><\/p>\n\n\n\n
Se una DPIA indica che il trattamento presenta un rischio elevato che non pu\u00f2 essere mitigato adeguatamente, il titolare del trattamento deve consultare l’autorit\u00e0 di controllo competente prima di procedere con il trattamento. Questo passo \u00e8 cruciale per garantire che le misure di protezione dei dati siano sufficienti e conformi alle normative vigenti.<\/p>\n\n\n\n
Queste linee guida forniscono un quadro essenziale per le organizzazioni per garantire che le loro attivit\u00e0 di trattamento dei dati siano conformi al GDPR e che i diritti e le libert\u00e0 degli individui siano adeguatamente protetti.<\/p>\n\n\n\n
la necessit\u00e0 di una DPIA ricorre soprattutto in caso di raccolta e memorizzazione dei log della posta elettronica, data la particolare “vulnerabilit\u00e0” degli interessati nel contesto lavorativo e il rischio di “monitoraggio sistematico”, inteso come trattamento utilizzato per osservare, monitorare o controllare gli interessati, inclusi i dati raccolti tramite reti (cfr. cons. 75 e artt. 35 e 88, par. 2, del GDPR; provv. Garante 11 ottobre 2018, n. 467, doc. web n. 9058979, all. n. 1; provv. 13 maggio 2021, n. 190, doc. web n. 9669974, par. 3.5).<\/p>\n\n\n\n
Provvedimento del Garante del 11 ottobre 2018, n. 467 (doc. web n. 9058979)<\/h4>\n\n\n\n
Questo provvedimento del Garante per la protezione dei dati personali affronta la questione della raccolta e memorizzazione dei log della posta elettronica nel contesto lavorativo. Il Garante sottolinea la necessit\u00e0 di effettuare una Valutazione di Impatto sulla Protezione dei Dati (DPIA) in questi casi, data la particolare vulnerabilit\u00e0 degli interessati e il rischio di monitoraggio sistematico. Il trattamento dei dati derivanti dai log delle email deve essere giustificato da esigenze specifiche e deve rispettare i principi di necessit\u00e0 e proporzionalit\u00e0. Inoltre, il Garante richiede che tali trattamenti siano trasparenti e che gli interessati siano adeguatamente informati sulle modalit\u00e0 e finalit\u00e0 del trattamento dei loro dati.<\/em><\/p>\n\n\n\nProvvedimento del Garante del 13 maggio 2021, n. 190 (doc. web n. 9669974)<\/h4>\n\n\n\n
In questo provvedimento, il Garante per la protezione dei dati personali ribadisce l’importanza della DPIA nei casi di trattamenti di dati personali che comportano rischi elevati per i diritti e le libert\u00e0 degli interessati. Il provvedimento specifica che il monitoraggio sistematico dei dipendenti attraverso la raccolta di log delle email deve essere attentamente valutato e giustificato. Il Garante sottolinea che tali attivit\u00e0 di monitoraggio possono essere considerate invasive e devono essere condotte con la massima trasparenza e nel rispetto delle normative vigenti. Le aziende devono adottare misure tecniche e organizzative adeguate per proteggere i dati personali e garantire che i trattamenti siano conformi al GDPR.<\/em><\/p>\n\n\n\nEntrambi i provvedimenti del Garante per la protezione dei dati personali evidenziano la necessit\u00e0 di effettuare una DPIA quando si tratta di raccogliere e memorizzare i log delle email nel contesto lavorativo. <\/p>\n\n\n\n
Questo \u00e8 dovuto alla vulnerabilit\u00e0 degli interessati e al rischio di monitoraggio sistematico. I trattamenti devono essere giustificati, proporzionati e trasparenti, con adeguate misure di protezione dei dati personali. Le aziende devono informare chiaramente gli interessati sulle modalit\u00e0 e finalit\u00e0 del trattamento dei loro dati e adottare tutte le precauzioni necessarie per garantire la conformit\u00e0 alle normative sulla protezione dei dati.<\/p>\n\n\n\n
<\/figure>\n<\/div>\n\n\nLe informazioni relative alle operazioni di invio, ricezione e smistamento dei messaggi possono includere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, ritrasmissione o ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in alcuni casi, a seconda del sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto.<\/p>\n\n\n\n
Questi metadati vengono spesso conservati per un periodo di tempo esteso.<\/p>\n\n\n\n
<\/a><\/a>In alcuni casi, \u00e8 stato riscontrato che i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi.<\/a> <\/p>\n\n\n\n Ci\u00f2 solleva preoccupazioni riguardo alla conformit\u00e0 di tali pratiche con la normativa sulla protezione dei dati personali e con le disposizioni giuslavoristiche in materia di controllo a distanza dei lavoratori.<\/p>\n\n\n\n <\/a><\/a>I metadati delle email, pur non entrando nel merito del contenuto dei messaggi, possono fornire informazioni dettagliate sulle attivit\u00e0 e le comunicazioni dei dipendenti, configurandosi come una forma di monitoraggio invasivo se raccolti e conservati in modo indiscriminato.<\/a><\/a> <\/p>\n\n\n\n Il Garante ha quindi ritenuto necessario intervenire per promuovere una maggiore consapevolezza tra i datori di lavoro pubblici e privati riguardo alle implicazioni di tali trattamenti e per fornire indicazioni volte a prevenire violazioni della privacy dei lavoratori.<\/a><\/a><\/p>\n\n\n\n I metadati menzionati in questo documento (sia quelli di origine puramente tecnica sia quelli, come il campo “Oggetto”, determinati dagli utenti) sono registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volont\u00e0 dell’utente.<\/p>\n\n\n\n Questi elementi corrispondono tecnicamente alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica, noti come MTA (Mail Transfer Agent).<\/a><\/a> <\/p>\n\n\n\n Questi metadati vengono prodotti durante l’interazione tra i diversi server coinvolti nel processo di invio e ricezione delle email, nonch\u00e9 tra i server e i client, ovvero le postazioni terminali utilizzate dagli utenti per inviare i messaggi e consultare la posta in arrivo accedendo alle caselle di posta elettronica, definite negli standard tecnici come MUA (Mail User Agent).<\/p>\n\n\n\n I metadati di cui parla il documento sono le informazioni registrate nei log dei sistemi server che gestiscono la posta elettronica, chiamati MTA (Mail Transfer Agent). Questi metadati vengono generati durante l’interazione tra i vari server che inviano e ricevono email e tra i server e i client, ovvero i dispositivi usati dagli utenti per inviare e ricevere email, definiti come MUA (Mail User Agent).<\/p>\n\n\n\n Questi metadati sono utili per vari scopi, come la sicurezza e la gestione della rete, ma possono anche essere sensibili dal punto di vista della privacy, motivo per cui il Garante della Privacy li monitora attentamente.<\/p>\n\n\n\n <\/a><\/a>I metadati MTA forniscono dettagli sul percorso seguito da un messaggio di posta elettronica e sono necessari per il corretto funzionamento del servizio email stesso.<\/a> <\/p>\n\n\n\n Essi includono informazioni come gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei computer coinvolti nell’invio del messaggio, gli orari di invio, ritrasmissione e ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in alcuni casi, anche l’oggetto del messaggio.<\/p>\n\n\n\n <\/a><\/a><\/a>Sebbene i metadati non entrino nel merito del contenuto dei messaggi, la loro raccolta e conservazione sistematica e prolungata pu\u00f2 sollevare problematiche in termini di protezione dei dati personali dei dipendenti e di controllo a distanza dell’attivit\u00e0 lavorativa.<\/a><\/a> <\/p>\n\n\n\n Il Garante ha quindi ritenuto necessario fornire indicazioni specifiche riguardo al trattamento di tali informazioni nel contesto lavorativo, al fine di garantire il rispetto dei principi di limitazione delle finalit\u00e0, minimizzazione dei dati e protezione fin dalla progettazione e per impostazione predefinita sanciti dal GDPR.<\/a><\/a><\/p>\n\n\n\n Un Mail Transfer Agent (MTA), noto anche come Message Transfer Agent o mail relay, \u00e8 un software che si occupa del trasferimento delle email tra i computer del mittente e del destinatario.<\/a><\/a> <\/p>\n\n\n\n L’MTA svolge un ruolo essenziale nel sistema di gestione dei messaggi di posta elettronica su Internet, occupandosi di tutto ci\u00f2 che avviene tra l’invio e la consegna dell’email nella casella del destinatario.<\/p>\n\n\n\n <\/a><\/a>Quando un’email viene inviata, l’MTA la riceve dal Mail Submission Agent (MSA), che a sua volta l’ha ricevuta dal Mail User Agent (MUA), ovvero il client di posta elettronica utilizzato dall’utente.<\/a> Una volta che l’MTA ha preso in carico l’email, si occupa del relaying, ovvero dell’inoltro del messaggio ad altri MTA se il destinatario non \u00e8 ospitato localmente, fino a raggiungere il Mail Delivery Agent (MDA) che consegner\u00e0 l’email nella casella del destinatario.<\/a><\/a>Gli MTA utilizzano il protocollo SMTP (Simple Mail Transfer Protocol) per l’invio delle email e possono impiegare estensioni come ESMTP per funzionalit\u00e0 avanzate.<\/a><\/a> <\/p>\n\n\n\n Operano secondo un modello store-and-forward, mettendo in coda la posta in uscita fino alla conferma di consegna o alla scadenza di limiti temporali predefiniti.<\/a><\/a> <\/p>\n\n\n\n In caso di mancata consegna entro i termini stabiliti, l’email viene restituita al client di posta.<\/p>\n\n\n\n <\/a>Gli MTA svolgono quindi un ruolo centrale nella deliverability delle email, gestendo la reputazione del mittente, filtrando lo spam, autenticando le email, ottimizzando i percorsi di consegna e gestendo gli errori di consegna.<\/a><\/a><\/a> <\/p>\n\n\n\n Possono contribuire a proteggere e rafforzare la reputazione del mittente attraverso il warm-up graduale di nuovi indirizzi IP, la configurazione di flussi di invio conformi ai limiti dei domini destinatari e il reinvio delle email in caso di greylisting.<\/p>\n\n\n\n <\/a><\/a>La scelta dell’MTA pi\u00f9 adatto dipende da diversi fattori, tra cui le esigenze specifiche dell’organizzazione, il volume di email da gestire, le funzionalit\u00e0 richieste e il budget disponibile.<\/a><\/a> <\/p>\n\n\n\n Tra gli MTA pi\u00f9 diffusi vi sono Sendmail\/Proofpoint, Postfix, Exim, OpenSMTP, Mutt, Alpine e Qmail, ciascuno con caratteristiche e punti di forza specifici.<\/p>\n\n\n\n I Metadati<\/strong> Sono come le “impronte digitali” delle email. Non contengono il contenuto delle email, ma informazioni su di esse, come chi l’ha inviata, a chi \u00e8 stata inviata, quando \u00e8 stata inviata, ecc. MTA (Mail Transfer Agent)<\/strong>: \u00c8 il “postino” digitale. \u00c8 il software che prende la tua email e la consegna al server di destinazione. MUA (Mail User Agent)<\/strong>: \u00c8 il “client di posta” che usi, come Outlook o Gmail. \u00c8 il software che usi per leggere e inviare email.<\/p>\n\n\n\n <\/a><\/a><\/p>\n\n\n\n I metadati delle email a cui fa riferimento il documento di indirizzo del Garante comprendono una vasta gamma di informazioni relative alle operazioni di invio, ricezione e smistamento dei messaggi di posta elettronica. Questi possono includere:<\/p>\n\n\n\n \u00c8 importante sottolineare che questi metadati, sia quelli di natura prettamente tecnica sia quelli determinati dagli utenti come l’oggetto, vengono registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione o dalla volont\u00e0 dell’utilizzatore.<\/a><\/a> <\/p>\n\n\n\n Ci\u00f2 significa che tali informazioni vengono raccolte e conservate in modo sistematico, senza che l’utente ne sia necessariamente consapevole o possa controllarle.<\/p>\n\n\n\n La raccolta generalizzata e la conservazione prolungata di questi metadati sollevano preoccupazioni in termini di protezione dei dati personali dei dipendenti e di potenziale controllo a distanza dell’attivit\u00e0 lavorativa, aspetti sui quali il Garante ha ritenuto necessario fornire indicazioni specifiche.<\/a><\/a><\/a><\/p>\n\n\n\n \u00c8 importante distinguere i metadati delle email, come intesi nel documento di indirizzo del Garante, dalle informazioni contenute nel corpo del messaggio (body-part) o integrate nell’envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici.<\/p>\n\n\n\n Gli stessi metadati come qui intesi non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro \u201cbody-part\u201d (corpo del messaggio) o anche in essi integrate – ancorch\u00e9 talvolta non immediatamente visibili agli utenti dei software \u201cclient\u201d di posta elettronica (i cosiddetti MUA – Mail User Agent) – a formare il cosiddetto envelope, ovvero l\u2019insieme delle intestazioni tecniche strutturate che documentano l\u2019instradamento del messaggio, la sua provenienza e altri parametri tecnici. <\/p>\n\n\n\n I metadati di cui parliamo in questo documento non devono essere confusi con il contenuto effettivo delle email (cio\u00e8 il testo del messaggio). I metadati includono informazioni come gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server coinvolti, gli orari di invio e ricezione, ecc. Questi dati vengono registrati automaticamente dai sistemi di posta elettronica.<\/em><\/p>\n\n\n\n D’altra parte, le informazioni nel corpo del messaggio (body-part) o nell’envelope (che contiene dettagli tecnici sull’instradamento e la provenienza del messaggio) fanno parte integrante del messaggio stesso. Anche se l’envelope contiene metadati, essi sono inseparabili dal messaggio e rimangono sotto il controllo dell’utente che invia o riceve l’email.<\/em><\/p>\n\n\n\n In sintesi:<\/p>\n\n\n\n Le informazioni contenute nell\u2019envelope, ancorch\u00e9 corrispondenti a metadati registrati automaticamente nei log dei servizi di posta, sono inscindibili dal messaggio di cui fanno parte integrante e che rimane sotto l\u2019esclusivo controllo dell\u2019utente (sia esso il mittente o il destinatario dei messaggi).<\/p>\n\n\n\n I metadati presi in considerazione dal Garante nel contesto della posta elettronica includono:<\/strong><\/p>\n\n\n\n Questi metadati sono registrati automaticamente dai sistemi di posta elettronica e possono fornire informazioni dettagliate sull’utilizzo degli account di posta elettronica dei dipendenti, conservando tali dati per un lungo periodo di tempo.<\/p>\n\n\n\n A differenza dei metadati registrati nei log dei server di posta, che vengono raccolti e conservati indipendentemente dalla volont\u00e0 degli utenti, le informazioni contenute nell’envelope sono strettamente legate al messaggio e non possono essere trattate separatamente da esso.<\/p>\n\n\n\n <\/a><\/a>Pertanto, mentre i metadati dei log possono sollevare problematiche in termini di protezione dei dati personali e controllo a distanza se raccolti e conservati in modo generalizzato e prolungato, le informazioni dell’envelope rientrano nella sfera di controllo dell’utente e sono tutelate in quanto parte integrante della comunicazione.<\/p>\n\n\n\n <\/a><\/a><\/a>Il Garante ha quindi ritenuto necessario fare questa distinzione per chiarire l’ambito di applicazione delle indicazioni fornite nel documento di indirizzo, che si concentrano specificamente sui metadati registrati automaticamente dai sistemi di posta elettronica e non sulle informazioni contenute nei messaggi stessi.<\/p>\n\n\n\n Le indicazioni contenute nel documento del garante riguardo ai tempi di conservazione dei metadati, come definiti sopra,<\/strong> non si applicano ai contenuti dei messaggi di posta elettronica (n\u00e9 alle informazioni tecniche che ne fanno parte integrante). Questi contenuti rimangono sotto il controllo dell’utente\/lavoratore all’interno della casella di posta elettronica a lui assegnata.<\/p>\n\n\n\n Questo documento non introduce nuove regole o obblighi per i responsabili del trattamento dei dati. <\/p>\n\n\n\n Il suo scopo \u00e8 fornire una panoramica delle normative esistenti in questo ambito specifico, basandosi su precedenti decisioni dell’Autorit\u00e0. <\/strong><\/p>\n\n\n\n L’obiettivo \u00e8 richiamare l’attenzione<\/strong> su alcuni punti di intersezione tra le leggi sulla protezione dei dati e le norme che regolano l’uso delle tecnologie nei luoghi di lavoro.<\/p>\n\n\n\n In questa ottica, l\u2019Autorit\u00e0 fornisce ai datori di lavoro delle linee guida sulla possibilit\u00e0 di trattare tali informazioni per garantire il corretto funzionamento e l’uso regolare del sistema di posta elettronica, inclusa la sicurezza informatica necessaria. <\/p>\n\n\n\n Questo pu\u00f2 essere fatto senza dover attivare la procedura di garanzia prevista dall’art. 4, comma 1, della legge 20\/5\/1970, n. 300, come richiamato dall’art. 114 del Codice.<\/strong><\/p>\n\n\n\n 1. Resta fermo quanto disposto dall’articolo 4 della legge 20 maggio 1970, n. 300.<\/em><\/p>\n\n\n\n Stante la natura orientativa del documento di indirizzo, dallo stesso non discendono nuovi adempimenti o responsabilit\u00e0.<\/strong><\/p>\n\n\n\n A seguito delle osservazioni e delle proposte ricevute dal Garante durante la consultazione pubblica a cui \u00e8 stato sottoposto questo documento (provvedimento del 22 febbraio 2024, n. 127, doc. web n. 9987885; Gazzetta Ufficiale n. 64 del 16 marzo 2024), sono state apportate alcune modifiche e integrazioni al documento di indirizzo. <\/p>\n\n\n\n <\/a><\/a><\/p>\n\n\n\n Il Garante per la protezione dei dati personali ha costantemente affermato che il contenuto dei messaggi di posta elettronica, cos\u00ec come i dati esteriori delle comunicazioni e i file allegati, riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche a livello costituzionale.<\/p>\n\n\n\n <\/a><\/a><\/a> In particolare, gli articoli 2 e 15 della Costituzione italiana proteggono il nucleo essenziale della dignit\u00e0 della persona e il pieno sviluppo della sua personalit\u00e0 nelle formazioni sociali.<\/a><\/a>Ci\u00f2 implica che, anche nel contesto lavorativo pubblico e privato, sussista una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza.<\/a><\/a><\/a> <\/p>\n\n\n\n Questo principio \u00e8 stato ribadito dal Garante nelle “Linee guida per posta elettronica e Internet” del 1\u00b0 marzo 2007 (punto 5.2 lett. b), doc. web n. 1387522), nonch\u00e9 in numerosi provvedimenti successivi, tra cui il provvedimento del 4 dicembre 2019, n. 216 (doc. web n. 9215890) e i precedenti in esso citati.<\/p>\n\n\n\n Utilizzo della Posta Elettronica<\/strong>:<\/p>\n\n\n\n Navigazione in Internet<\/strong>:<\/p>\n\n\n\n Monitoraggio e Controllo<\/strong>:<\/p>\n\n\n\n Sicurezza dei Dati<\/strong>:<\/p>\n\n\n\n Trattamento dei Dati Personali<\/strong>:<\/p>\n\n\n\n Metadati di Posta Elettronica<\/strong>:<\/p>\n\n\n\n Informazione e Trasparenza<\/strong>:<\/p>\n\n\n\n Misure di Sicurezza<\/strong>:<\/p>\n\n\n\n Linee guida per posta elettronica e Internet (1\u00b0 marzo 2007)<\/strong>:<\/p>\n\n\n\n Provvedimento del 4 dicembre 2019, n. 216<\/strong>:<\/p>\n\n\n\n Misure di Sicurezza<\/strong> \u00c8 necessario implementare sistemi di autenticazione robusti per controllare l’accesso ai dati e garantire che solo il personale autorizzato possa accedere alle informazioni sensibili. <\/p>\n\n\n\n Le aziende devono anche effettuare regolari valutazioni del rischio e audit di sicurezza per identificare e mitigare potenziali vulnerabilit\u00e0. Viene raccomandato l’uso di firewall e software antivirus aggiornati per proteggere i sistemi da attacchi esterni. Inoltre, \u00e8 importante predisporre piani di risposta agli incidenti per gestire eventuali violazioni dei dati in modo tempestivo ed efficace.<\/p>\n\n\n\n Prescrizioni del Garante<\/strong> \u00c8 obbligatorio ottenere il consenso esplicito degli interessati prima di trattare i loro dati. <\/p>\n\n\n\n Le organizzazioni devono adottare politiche trasparenti e fornire informazioni dettagliate sugli strumenti di monitoraggio utilizzati. <\/p>\n\n\n\n Il Garante ha anche imposto la limitazione della raccolta dei metadati e ne ha regolamentato la conservazione, specificando che devono essere conservati solo per il tempo strettamente necessario alle finalit\u00e0 dichiarate. <\/p>\n\n\n\n Le aziende devono garantire che i dati personali siano trattati in modo lecito, corretto e trasparente, rispettando i diritti degli interessati.<\/p>\n\n\n\n Obblighi Imposti dalla Normativa<\/strong><\/p>\n\n\n\n \u00c8 obbligatorio effettuare una valutazione d’impatto sulla protezione dei dati (DPIA)<\/strong> per identificare e mitigare i rischi associati al trattamento dei dati personali. Le aziende devono garantire la portabilit\u00e0 dei dati, permettendo agli interessati di trasferire i loro dati a un altro fornitore di servizi. <\/p>\n\n\n\n \u00c8 necessario rispettare il principio di minimizzazione dei dati, raccogliendo solo i dati strettamente necessari per le finalit\u00e0 dichiarate. <\/p>\n\n\n\n Le organizzazioni sono tenute a notificare eventuali violazioni dei dati all’autorit\u00e0 di controllo entro 72 ore dalla scoperta e informare gli interessati senza ingiustificato ritardo se la violazione comporta un rischio elevato per i loro diritti e libert\u00e0.<\/p>\n\n\n\n <\/a><\/a><\/a>La tutela della segretezza della corrispondenza elettronica nel contesto lavorativo \u00e8 quindi un diritto fondamentale dei lavoratori, che deve essere rispettato dai datori di lavoro nella gestione dei sistemi di posta elettronica aziendale.<\/a><\/a> <\/p>\n\n\n\n Qualsiasi forma di controllo o monitoraggio delle comunicazioni email dei dipendenti deve essere effettuata nel rispetto di tali garanzie e dei principi di protezione dei dati personali sanciti dal GDPR, come la limitazione delle finalit\u00e0, la minimizzazione dei dati e la trasparenza nei confronti degli interessati.<\/a><\/a><\/a><\/p>\n\n\n\n L’impiego di programmi e servizi informatici per la gestione della posta elettronica nel contesto lavorativo d\u00e0 luogo a “trattamenti<\/strong>” di dati personali riferiti a “interessati” identificati o identificabili, come definiti dall’art. 4, par. 1, nn. 1) e 2) del GDPR.<\/a><\/a> <\/p>\n\n\n\n Pertanto, il datore di lavoro, in qualit\u00e0 di titolare del trattamento, \u00e8 tenuto a verificare la sussistenza di un idoneo presupposto di liceit\u00e0<\/strong>, ai sensi degli artt. 5, par. 1, lett. a), e 6 del GDPR, prima di effettuare trattamenti di dati personali dei lavoratori attraverso tali strumenti.<\/p>\n\n\n\n <\/a><\/a>Inoltre, il datore di lavoro deve rispettare le condizioni per il lecito impiego di strumenti tecnologici nel contesto lavorativo, come stabilito dall’art. 88, par. 2, del GDPR.<\/strong><\/a><\/a> <\/p>\n\n\n\n In particolare, \u00e8 necessario verificare sempre la sussistenza dei presupposti di liceit\u00e0 previsti dall’art. 4 dello Statuto dei Lavoratori (Legge 300\/1970), richiamato dall’art. 114 del Codice Privacy, nonch\u00e9 il rispetto delle disposizioni che vietano al datore di acquisire e trattare informazioni non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore o afferenti alla sua sfera privata (art. 8 Statuto dei Lavoratori e art. 10 D.Lgs. 276\/2003, richiamato dall’art. 113 del Codice Privacy).<\/p>\n\n\n\n <\/a><\/a><\/a>Gli artt. 113 e 114 del Codice Privacy sono considerati, nell’ordinamento italiano, disposizioni pi\u00f9 specifiche e di maggiore garanzia rispetto all’art. 88 del GDPR.<\/strong><\/a><\/a> <\/p>\n\n\n\n La loro osservanza costituisce una condizione di liceit\u00e0 del trattamento e la loro violazione comporta, oltre all’applicazione di sanzioni amministrative pecuniarie ai sensi dell’art. 83, par. 5, lett. d) del GDPR, anche il possibile insorgere di responsabilit\u00e0 penali (art. 171 del Codice Privacy).<\/a><\/a><\/a><\/p>\n\n\n\n Il titolare del trattamento dei dati personali, oltre a rispettare i presupposti di liceit\u00e0, \u00e8 tenuto a osservare i principi generali del trattamento sanciti dagli artt. 5, 24 e 25 del GDPR, nonch\u00e9 a porre in essere tutti gli adempimenti previsti dalle disposizioni normative in materia di protezione dei dati personali, come stabilito dagli artt. 12, 13, 14, 30, 32 e 35 del Regolamento.<\/p>\n\n\n\n <\/a><\/a>In particolare, il titolare deve fornire agli interessati, in modo corretto e trasparente, una chiara rappresentazione del complessivo trattamento effettuato<\/strong>, consentendo loro di disporre di tutti gli elementi informativi essenziali previsti dal GDPR e di essere pienamente consapevoli, prima dell’inizio del trattamento, delle caratteristiche dello stesso.<\/a><\/a> <\/p>\n\n\n\n Ci\u00f2 \u00e8 stato ribadito anche dalla Corte Europea dei Diritti dell’Uomo nella sentenza del 5 settembre 2017 (Ricorso n. 61496\/08 – Causa Barbulescu c. Romania, spec. par. n. 133 e 140).<\/p>\n\n\n\n <\/a><\/a><\/p>\n\n\n\n Non ho trovato il contenuto specifico della sentenza della Corte Europea dei Diritti dell’Uomo del 5 settembre 2017 nei memo. Tuttavia, posso fornirti una parafrasi basata su informazioni generali.<\/p>\n\n\n\n La sentenza ha sottolineato l’importanza del rispetto della vita privata e familiare, stabilendo che qualsiasi interferenza da parte dello Stato deve essere giustificata e proporzionata. <\/p>\n\n\n\n Inoltre, la Corte ha evidenziato che le misure di sorveglianza e monitoraggio devono essere accompagnate da adeguate salvaguardie per prevenire abusi e garantire che i diritti degli individui siano protetti. <\/p>\n\n\n\n La decisione ha riaffermato che le autorit\u00e0 devono fornire trasparenza e motivazioni chiare per le loro azioni, assicurando che ogni misura intrapresa sia conforme ai principi della Convenzione Europea dei Diritti dell’Uomo.<\/p>\n\n\n\n Inoltre, in attuazione del principio di “responsabilizzazione” (art. 5, par. 2, e 24 del GDPR), spetta al titolare valutare se i trattamenti che intende realizzare possano presentare un rischio elevato<\/strong> per i diritti e le libert\u00e0 delle persone fisiche, in ragione delle tecnologie impiegate e considerata la natura, l’oggetto, il contesto e le finalit\u00e0 perseguite.<\/a><\/a> <\/p>\n\n\n\n In tal caso, \u00e8 necessaria una preventiva valutazione d’impatto sulla protezione dei dati personali (DPIA), come previsto dai considerando 90 e dagli artt. 35 e 36 del GDPR.<\/p>\n\n\n\n Non ho trovato ulteriori dettagli specifici sulle “Linee guida concernenti la valutazione di impatto sulla protezione dei dati” del Gruppo di lavoro art. 29 (WP 248 del 4 aprile 2017) nei memo. Tuttavia, posso continuare la parafrasi basata su informazioni generali.<\/p>\n\n\n\n Le linee guida del Gruppo di lavoro art. 29 (WP 248 del 4 aprile 2017) forniscono una struttura chiara per le organizzazioni su come condurre una Valutazione di Impatto sulla Protezione dei Dati (DPIA). <\/p>\n\n\n\n Queste linee guida sono essenziali per garantire che le attivit\u00e0 di trattamento dei dati siano conformi al Regolamento Generale sulla Protezione dei Dati (GDPR).<\/p>\n\n\n\n Processo di DPIA<\/strong> Coinvolgimento degli Stakeholder<\/strong><\/p>\n\n\n\n Questo approccio collaborativo aiuta a identificare e affrontare potenziali problemi di privacy in modo pi\u00f9 efficace.<\/p>\n\n\n\n Documentazione e Trasparenza<\/strong><\/p>\n\n\n\n Revisione e Aggiornamento<\/strong><\/p>\n\n\n\n Le organizzazioni devono stabilire un processo continuo di monitoraggio e revisione delle DPIA per garantire che rimangano pertinenti e efficaci.<\/p>\n\n\n\n Consultazione con l’Autorit\u00e0 di Controllo<\/strong><\/p>\n\n\n\n Queste linee guida forniscono un quadro essenziale per le organizzazioni per garantire che le loro attivit\u00e0 di trattamento dei dati siano conformi al GDPR e che i diritti e le libert\u00e0 degli individui siano adeguatamente protetti.<\/p>\n\n\n\n la necessit\u00e0 di una DPIA ricorre soprattutto in caso di raccolta e memorizzazione dei log della posta elettronica, data la particolare “vulnerabilit\u00e0” degli interessati nel contesto lavorativo e il rischio di “monitoraggio sistematico”, inteso come trattamento utilizzato per osservare, monitorare o controllare gli interessati, inclusi i dati raccolti tramite reti (cfr. cons. 75 e artt. 35 e 88, par. 2, del GDPR; provv. Garante 11 ottobre 2018, n. 467, doc. web n. 9058979, all. n. 1; provv. 13 maggio 2021, n. 190, doc. web n. 9669974, par. 3.5).<\/p>\n\n\n\n Questo provvedimento del Garante per la protezione dei dati personali affronta la questione della raccolta e memorizzazione dei log della posta elettronica nel contesto lavorativo. Il Garante sottolinea la necessit\u00e0 di effettuare una Valutazione di Impatto sulla Protezione dei Dati (DPIA) in questi casi, data la particolare vulnerabilit\u00e0 degli interessati e il rischio di monitoraggio sistematico. Il trattamento dei dati derivanti dai log delle email deve essere giustificato da esigenze specifiche e deve rispettare i principi di necessit\u00e0 e proporzionalit\u00e0. Inoltre, il Garante richiede che tali trattamenti siano trasparenti e che gli interessati siano adeguatamente informati sulle modalit\u00e0 e finalit\u00e0 del trattamento dei loro dati.<\/em><\/p>\n\n\n\n In questo provvedimento, il Garante per la protezione dei dati personali ribadisce l’importanza della DPIA nei casi di trattamenti di dati personali che comportano rischi elevati per i diritti e le libert\u00e0 degli interessati. Il provvedimento specifica che il monitoraggio sistematico dei dipendenti attraverso la raccolta di log delle email deve essere attentamente valutato e giustificato. Il Garante sottolinea che tali attivit\u00e0 di monitoraggio possono essere considerate invasive e devono essere condotte con la massima trasparenza e nel rispetto delle normative vigenti. Le aziende devono adottare misure tecniche e organizzative adeguate per proteggere i dati personali e garantire che i trattamenti siano conformi al GDPR.<\/em><\/p>\n\n\n\n Entrambi i provvedimenti del Garante per la protezione dei dati personali evidenziano la necessit\u00e0 di effettuare una DPIA quando si tratta di raccogliere e memorizzare i log delle email nel contesto lavorativo. <\/p>\n\n\n\n Questo \u00e8 dovuto alla vulnerabilit\u00e0 degli interessati e al rischio di monitoraggio sistematico. I trattamenti devono essere giustificati, proporzionati e trasparenti, con adeguate misure di protezione dei dati personali. Le aziende devono informare chiaramente gli interessati sulle modalit\u00e0 e finalit\u00e0 del trattamento dei loro dati e adottare tutte le precauzioni necessarie per garantire la conformit\u00e0 alle normative sulla protezione dei dati.<\/p>\n\n\n\nMetadati Email: Definizione Tecnica<\/h2>\n\n\n
<\/figure>\n<\/div>\n\n\nMail Transfer Agent (MTA) Explained<\/h2>\n\n\n
<\/figure>\n<\/div>\n\n\nEsempi<\/h3>\n\n\n\n
\n
Metadati email: registrazione automatica<\/h2>\n\n\n
<\/figure>\n<\/div>\n\n\n\n
Metadati Email vs Envelope<\/h2>\n\n\n
<\/figure>\n<\/div>\n\n\n\n
Return-Path: <mittente@example.com>\nReceived: from mail.example.com (mail.example.com [192.0.2.1])\n by mx.google.com with ESMTP id xyz123abc456\n for <destinatario@example.com>;\n Fri, 15 Jun 2024 10:15:30 -0700 (PDT)\nReceived: from [192.0.2.2] (helo=mail.example.com)\n by mail.example.com with esmtpa (Exim 4.85)\n (envelope-from <mittente@example.com>)\n id 1XyZaB-0001cD-1A\n for destinatario@example.com; Fri, 15 Jun 2024 10:15:28 -0700\nDate: Fri, 15 Jun 2024 10:15:28 -0700\nFrom: Mittente <mittente@example.com>\nTo: Destinatario <destinatario@example.com>\nSubject: Esempio di envelope di un'email\nMessage-ID: <1234567890@mail.example.com><\/code><\/pre>\n\n\n\nSpiegazione<\/h3>\n\n\n\n
\n
\n
Dispositivo dell’art. 114 Codice della privacy<\/h3>\n\n\n\n
Tutela Costituzionale Email Dipendenti<\/h3>\n\n\n
<\/figure>\n<\/div>\n\n\nLinee guida per posta elettronica e Internet (1\u00b0 marzo 2007)<\/h3>\n\n\n\n
Contenuti Principali:<\/h4>\n\n\n\n
\n
\n
\n
\n
\n
\n
\n
\n
Provvedimento del 4 dicembre 2019, n. 216<\/h3>\n\n\n\n
Contenuti Principali:<\/h4>\n\n\n\n
\n
\n
\n
\n
\n
\n
\n
\n
Riassunto per Punti<\/h3>\n\n\n\n
\n
\n
\n
\n
Le misure di sicurezza richieste includono l’adozione di tecnologie di crittografia per proteggere i dati personali durante il trasferimento e la conservazione. <\/p>\n\n\n\n
Il Garante per la protezione dei dati personali ha stabilito che le aziende devono informare chiaramente gli utenti sulle modalit\u00e0 e finalit\u00e0 del trattamento dei loro dati personali, inclusi i metadati delle email. <\/p>\n\n\n\n
La normativa impone alle aziende l’obbligo di conformarsi al GDPR, che include la protezione dei dati personali e la tutela dei diritti degli interessati. Le organizzazioni devono designare un Responsabile della Protezione dei Dati (DPO) se il trattamento dei dati \u00e8 su larga scala o coinvolge categorie particolari di dati. <\/p>\n\n\n\nLiceit\u00e0 trattamento metadati email dipendenti<\/h3>\n\n\n
<\/figure>\n<\/div>\n\n\nObblighi Titolare Trattamento Metadati Email<\/h3>\n\n\n
<\/figure>\n<\/div>\n\n\n Le linee guida concernenti la valutazione di impatto sulla protezione dei dati” del Gruppo di lavoro art. 29 (WP 248 del 4 aprile 2017)<\/h3>\n\n\n\n
Parafrasi delle Linee Guida sulla Valutazione di Impatto sulla Protezione dei Dati (DPIA)<\/h3>\n\n\n\n
Il processo di DPIA deve essere sistematico e comprensivo, includendo i seguenti passaggi:<\/p>\n\n\n\n\n
Le linee guida raccomandano di coinvolgere diverse parti interessate nel processo di DPIA, inclusi il Responsabile della Protezione dei Dati (DPO), i responsabili del trattamento e, se necessario, gli interessati stessi. <\/p>\n\n\n\n
\u00c8 fondamentale documentare ogni fase della DPIA e mantenere un registro delle valutazioni effettuate. Le organizzazioni devono essere trasparenti riguardo ai risultati della DPIA e alle misure adottate per mitigare i rischi, informando gli interessati sulle modalit\u00e0 di trattamento dei loro dati personali.<\/p>\n\n\n\n
La DPIA non \u00e8 un’attivit\u00e0 una tantum ma deve essere rivista e aggiornata regolarmente, specialmente quando ci sono cambiamenti significativi nelle operazioni di trattamento o nei rischi associati. <\/p>\n\n\n\n
Se una DPIA indica che il trattamento presenta un rischio elevato che non pu\u00f2 essere mitigato adeguatamente, il titolare del trattamento deve consultare l’autorit\u00e0 di controllo competente prima di procedere con il trattamento. Questo passo \u00e8 cruciale per garantire che le misure di protezione dei dati siano sufficienti e conformi alle normative vigenti.<\/p>\n\n\n\nProvvedimento del Garante del 11 ottobre 2018, n. 467 (doc. web n. 9058979)<\/h4>\n\n\n\n
Provvedimento del Garante del 13 maggio 2021, n. 190 (doc. web n. 9669974)<\/h4>\n\n\n\n