Posta elettronica nel contesto lavorativo

Provvedimento del 6 giugno 2024 – Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati [10026277]. Garante Privacy

Nell’ambito di accertamenti condotti dal Garante con riguardo ai trattamenti di dati personali effettuati nel contesto lavorativo è emerso il rischio che programmi  e servizi informatici per la gestione della posta elettronica, anche qualora commercializzati da fornitori in modalità cloud, possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti, conservando gli stessi per un esteso arco temporale.  Nel seguito del documento si farà riferimento alternativamente ai “metadati di posta elettronica” o “log di posta elettronica”.

I metadati cui fa riferimento il presente documento di indirizzo, sottoposto a consultazione pubblica, corrispondono tecnicamente alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client (le postazioni terminali che effettuano l’invio dei messaggi  e che consentono la consultazione della corrispondenza in entrata accedendo ai mailbox elettroniche, definite negli standard tecnici quali MUA – Mail User Agent).

Tali informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto.

I metadati cui ci si riferisce nel presente documento (sia quelli di origine prettamente tecnica sia quelli, come il campo “Oggetto”, determinati dagli utenti) presentano la caratteristica di essere registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utilizzatore.

Gli stessi metadati come qui intesi non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate –  ancorché talvolta non immediatamente visibili agli utenti dei software “client” di posta elettronica (i cosiddetti MUA – Mail User Agent)  – a formare il cosiddetto envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici. Le informazioni contenute nell’envelope, ancorché corrispondenti a metadati registrati automaticamente nei log dei servizi di posta, sono inscindibili dal messaggio di cui fanno parte integrante e che rimane sotto l’esclusivo controllo dell’utente (sia esso il mittente o il destinatario dei messaggi).

Pertanto, le indicazioni contenute nel documento relativamente ai tempi di conservazione dei metadati come sopra definiti non riguardano i contenuti dei messaggi di posta elettronica (né le informazioni tecniche che ne fanno comunque parte integrante) che rimangono nella disponibilità dell’utente/lavoratore, all’interno della casella di posta elettronica attribuitagli.

Il presente documento non reca prescrizioni né introduce nuovi adempimenti a carico dei titolari del trattamento ma intende offrire una ricostruzione sistematica delle disposizioni applicabili in tale specifico ambito, alla luce di talune precedenti decisioni dell’Autorità, al solo fine di richiamare l’attenzione su alcuni punti di intersezione tra la disciplina di protezione dei dati e le norme che stabiliscono le condizioni per l’impiego degli strumenti tecnologici nei luoghi di lavoro.

In questa prospettiva l’Autorità intende altresì fornire ai datori di lavoro indicazioni in ordine alla possibilità di trattare tali informazioni per consentire il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica, comprese le essenziali garanzie di sicurezza informatica, senza necessità di attivare la procedura di garanzia prevista dall’art. 4, comma 1, l. 20/5/1970, n. 300, espressamente richiamata dall’art. 114 del Codice.

Stante la natura orientativa del documento di indirizzo, dallo stesso non discendono nuovi adempimenti o responsabilità.

Alla luce delle osservazioni e delle proposte pervenute al Garante nell’ambito della consultazione pubblica cui il presente documento è stato sottoposto (provv. del 22 febbraio 2024, n. 127, doc. web n. 9987885; Gazzetta Ufficiale n. 64 del 16 marzo 2024), sono state apportate alcune modifiche e integrazioni al presente documento di indirizzo anche con riferimento ai criteri che possano orientare le scelte dei datori di lavoro nell’individuazione dell’eventuale periodo di conservazione dei predetti log, ai fini dell’applicazione dell’eccezione contenuta nell’art. 4, comma 2, della l. 20 maggio 1970, n. 300 rispetto alla regola di cui al comma 1, per assicurare il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica, comprese le essenziali garanzie di sicurezza informatica. Sono stati, inoltre, forniti chiarimenti in merito all’ambito oggettivo di applicazione del documento, anche indicando la definizione di metadato, e alla natura del documento. Infine, è stata richiamata l’attenzione dei fornitori dei servizi di posta elettronica sulla necessità di tenere in considerazione del diritto alla protezione dei dati conformemente allo stato dell’arte, già in fase di progettazione di servizi e prodotti.


Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati. garante Privacy
download

Garante Privacy per gli IRCCS

Cosa sono gli IRCCS? Come possono utilizzare i dati personali raccolti per la cura dei pazienti per finalità di ricerca? A quali adempimenti sono tenuti in base al Codice privacy? A queste domande ha risposto il Garante Privacy con le Faq presenti in questa pagina.


Gli IRCCS sono enti del Servizio sanitario nazionale a rilevanza nazionale dotati di autonomia e personalità giuridica che, secondo standard di eccellenza, perseguono finalità di ricerca, prevalentemente clinica e traslazionale, nel campo biomedico e in quello dell’organizzazione e gestione dei servizi sanitari ed effettuano prestazioni di ricovero e cura di alta specialità (art.1 d.lgs. 16/10/2003, n. 288).

I chiarimenti dell’Autorità sono rivolti agli IRCCS, ossia quegli enti del Servizio sanitario nazionale che, secondo standard di eccellenza, perseguono finalità di ricerca nel campo biomedico e in quello dell’organizzazione e gestione dei servizi sanitari ed effettuano prestazioni di ricovero e cura di alta specialità.

Nelle Faq è spiegato che gli IRCCS, per poter utilizzare i dati dei loro pazienti anche per l’attività di ricerca scientifica autorizzata dal Ministero, devono individuare una base giuridica idonea a legittimare tale trattamento e una deroga adeguata al generale divieto di trattare i dati sulla salute e genetici.

Il Garante ha dunque chiarito che gli IRCCS pubblici e privati, oltre che sul consenso dei partecipanti alla ricerca, possono fondare il trattamento dei dati personali raccolti a scopo di cura per ulteriori finalità di ricerca sull’art. 110-bis, comma 4 del Codice privacy, in base al quale non costituisce trattamento ulteriore dei dati raccolti per l’attività clinica, quello svolto a fini di ricerca.

Nel caso in cui gli IRCCS si avvalgano di questa disposizione, hanno però l’obbligo di svolgere la Valutazione d’impatto (Vip) e di pubblicarla sui propri siti web. Tuttavia, se la pubblicazione per intero della Vip può ledere diritti di proprietà intellettuale, segreti commerciali o altro, l’Istituto può pubblicarla per estratto. Una specifica sezione delle Faq è dedicata alle diverse le modalità per informare i partecipanti alla ricerca a seconda che i dati siano raccolti presso di essi ovvero presso banche dati interne all’istituto o altri centri partecipanti.

L’Autorità ha infine chiarito l’ambito oggettivo di applicazione dell’art. 110-bis, comma 4 del Codice, che riguarda ogni tipo di ricerca medica, biomedica, epidemiologica, prospettica e retrospettiva, promossa da IRCCS, ivi inclusi gli studi multicentrici, sia svolti nell’ambito delle reti di ricerca degli IRCCS che in quelli promossi da tali istituti con la partecipazione di enti che non godono di tale riconoscimento.

Intelligenza artificiale, Garante privacy

Intelligenza artificiale: il Garante privacy scrive a Parlamento e Governo. Necessario individuare Autorità di vigilanza indipendenti e imparziali.

Il Garante per la protezione dei dati personali possiede i requisiti di competenza e indipendenza necessari per attuare il Regolamento europeo sull’intelligenza artificiale coerentemente con l’obiettivo di un livello elevato di tutela dei diritti fondamentali.

È quanto scrive il Presidente, Pasquale Stanzione, in una segnalazione inviata nei giorni scorsi ai Presidenti di Senato e Camera e al Presidente del Consiglio.

La recente approvazione dell’AI Act da parte del Parlamento europeo – spiega il Presidente dell’Autorità – “impone agli Stati membri alcune scelte essenziali sulle norme di adeguamento degli ordinamenti interni”.

L’incidenza dell’IA sui diritti suggerisce di attribuirne la competenza ad Autorità caratterizzate da requisiti d’indipendenza stringenti, come le Authority per la privacy, anche in ragione della stretta interrelazione tra intelligenza artificiale e protezione dati e della competenza già acquisita in materia di processo decisionale automatizzato.

L’AI Act – ricorda il Garante – si fonda sull’articolo 16 del Trattato sul funzionamento dell’Unione europea, che è la base giuridica della normativa di protezione dei dati, e lo stesso Regolamento sull’intelligenza artificiale prevede il controllo delle Autorità di protezione dei dati personali su processi algoritmici che utilizzino dati personali.

La sinergia tra le due discipline e la loro applicazione da parte di un’unica Autorità è quindi determinante per l’effettività dei diritti e delle garanzie sanciti – conclude Stanzione – suggerendo in proposito una riflessione a Parlamento e Governo.

Segnalazione al Parlamento e al Governo sull'Autorità per l'i. a.

Telemarketing, Garante privacy

Telemarketing, Garante privacy: al via il Codice di condotta. Accreditato l’Organismo di monitoraggio per la piena efficacia delle nuove regole.

Con l’accreditamento dell’Organismo di monitoraggio (OdM) si completa l’iter per la piena applicazione del Codice di condotta che regola le attività di teleselling e di telemarketing. Il Codice, che ha l’obiettivo di tutelare gli utenti dalle chiamate indesiderate, acquisterà piena efficacia dal giorno successivo alla sua pubblicazione nella Gazzetta Ufficiale[VEDI IL PROVVEDIMENTO DEL 7 MARZO 2024]

L’Autorità ha ritenuto che l’OdM – proposto da associazioni di committenti, call center, teleseller, list provider e associazioni di consumatori – sia in possesso dei requisisti previsti dal Regolamento Ue, tra i quali un adeguato livello di competenza, indipendenza e imparzialità per lo svolgimento dei compiti di controllo sull’applicazione del Codice da parte degli aderenti.

Le società che aderiranno al Codice, si impegneranno ad adottare misure specifiche per garantire la correttezza e la legittimità dei trattamenti di dati svolti lungo tutta la “filiera” del telemarketing.

Dovranno raccogliere consensi specifici per le singole finalità (marketing, profilazione, ecc.), informare in maniera precisa le persone contattate sull’uso dei loro dati, assicurando il pieno esercizio dei diritti previsti dalla normativa privacy (opposizione al trattamento, rettifica o aggiornamento dei dati). Le società inoltre saranno tenute ad effettuare una valutazione di impatto nel caso svolgano trattamenti automatizzati, compresa la profilazione, che comportano un’analisi sistematica e globale di informazioni personali.

Per contrastare il fenomeno del “sottobosco” dei call-center abusivi il Codice di condotta stabilisce l’applicazione di una penale o la mancata corresponsione della provvigione per ogni contratto stipulato a seguito di un contatto promozionale senza consenso.

Dossier sanitario, Garante privacy

Dossier sanitario, Garante privacy: accessibile solo per ragioni di cura
Sanzionata una Asl per 40mila euro

Sanzione di 40mila euro del Garante privacy ad una Asl per non aver configurato il dossier sanitario aziendale in modo tale da impedire al personale autorizzato di visionare lo stato di salute dei colleghi per finalità ulteriori rispetto a quelle di cura.

L’Autorità – intervenuta a seguito del reclamo di un’infermiera, che era al contempo paziente e dipendente della Asl – ha infatti accertato che le responsabili dell’organizzazione dei turni del reparto dove lavorava, durante il lockdown, avevano avuto liberamente accesso al dossier sanitario dei colleghi per verificare l’eventuale positività al Covid-19 e pianificare le presenze in ospedale.

Secondo la Asl la pratica si era resa necessaria per sapere su quali risorse umane poter contare, considerato che, nel periodo della pandemia, gran parte del personale era in malattia contagiato dal Covid.

Nel suo provvedimento il Garante ha messo innanzitutto in evidenza come l’accesso al dossier sanitario sia consentito solo ai medici e al personale che hanno in cura un paziente, e non per esigenze organizzative e amministrative anche nell’ipotesi in cui, come nel caso specifico, la Asl assuma sia la veste di datore di lavoro che di autorità sanitaria che ha in cura l’interessata. L’uso del dossier per organizzare i turni ospedalieri costituisce, peraltro, una modalità inefficace essendo tale strumento vincolato al consenso dell’interessato e risultando, per sua natura, incompleto tenuto conto del fatto che l’interessato può decidere di oscurare alcuni dati e documenti, compresi gli esiti dei test Covid.

Nel corso dell’istruttoria l’Autorità ha inoltre accertato che gli accessi erano stati possibili perché la configurazione del dossier sanitario aziendale non prevedeva limiti all’accesso, né sistemi di alert e di monitoraggio finalizzati a segnalare eventuali condotte illecite dei dipendenti.

Oltre ad irrogare la sanzione, il Garante ha ordinato all’azienda ospedaliera di adottare nuove procedure e misure organizzative per garantire la tutela dei dati dei pazienti e dei dipendenti: in particolare, l’adozione di alert automatici per il rilevamento di eventuali anomalie e di procedure che prevedano la registrazione automatica in appositi file di log di tutti gli accessi e le operazioni compiute, compresa anche la semplice consultazione del dossier.

Fonte https://www.gpdp.it/

Intelligenza Artificiale servizi sanitari nazionali

Decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di Intelligenza Artificiale – settembre 2023. Garante Privacy

Le basi giuridiche del trattamento

Il trattamento di dati sulla salute da parte di soggetti che perseguono compiti di interesse pubblico deve necessariamente fondarsi sul diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato (art. 9, par. 2, lett. g) del Regolamento; cfr. sul punto sentenza della Corte Costituzionale n. 20 del 2019).

Tale disposizione ha trovato attuazione nell’art. 2-sexies del Codice, in base al quale i trattamenti delle particolari categorie di dati tra cui rilevano quelli sulla salute sono ammessi solo qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

IA

L’elaborazione di dati sulla salute attraverso tecniche di IA richiama i concetti di profilazione e di decisioni sulla base di processi automatizzati con riferimento ai quali si rappresenta che, nell’ambito dei trattamenti svolti per motivi di interesse pubblico, l’uso di tali strumenti è consentito solo se espressamente previsto dal diritto degli Stati membri, nel rispetto di misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi degli interessati (considerando 71 e art. 22, par. 4, del Regolamento).

Pertanto, in base al combinato disposto delle disposizioni sopra richiamate, operata una preliminare valutazione in ordine alla necessità di tali trattamenti1, è necessario che gli stessi siano previsti da uno specifico quadro normativo avente le caratteristiche sopra richiamate.

A tale riguardo, si ricorda che in base all’art. 36, par. 4 del Regolamento, gli Stati membri consultano l’Autorità di controllo durante l’elaborazione di un atto legislativo o di misura regolamentare che prevede il trattamento di dati personali. Ciò, anche la fine di supportare gli stessi nella predisposizione di una base giuridica del trattamento chiara e precisa e prevedibile per le persone che vi sono sottoposte, in conformità alla giurisprudenza della Corte di giustizia dell’Unione europea e della Corte europea dei diritti dell’uomo (considerando 41 del Regolamento)

Decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di Intelligenza Artificiale – Garante Privacy.
download Decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di Intelligenza Artificiale – Garante Privacy.

No al controllo a distanza dei lavoratori

Il Garante per la protezione dei dati personali, nella Newsletter del 26 luglio 2023, informa di aver sanzionato una azienda per aver installato un sistema di allarme la cui attivazione e disattivazione si basava sull’uso delle impronte digitali, un impianto di videosorveglianza e un applicativo per la geolocalizzazione di alcuni lavoratori. Controllo a distanza dei lavoratori

Il rispetto della procedura di garanzia prevista dallo Statuto dei lavoratori e dal Codice privacy costituisce un requisito essenziale per la correttezza dei trattamenti dei dati personali dei lavoratori in azienda.

Non sono bastate le motivazioni presentate da un’azienda per evitare una sanzione di 20mila euro dal Garante per la protezione dei dati personali per aver installato un sistema di allarme la cui attivazione e disattivazione si basava sull’uso delle impronte digitali, un impianto di videosorveglianza e un applicativo per la geolocalizzazione di alcuni lavoratori.

Le violazioni sono emerse dall’ispezione avviata dall’Autorità in collaborazione con il Nucleo speciale tutela privacy della Guardia di finanza, a seguito di una segnalazione.

In particolare, con riferimento al sistema di videosorveglianza, è stato accertato che lo stesso, oltre alle riprese delle immagini in diretta, era in grado di captare anche i suoni ed effettuare registrazioni; avevano accesso attraverso uno smartphone il legale rappresentante della società e la sua famiglia. L’applicativo permetteva all’utente di ammonire verbalmente gli interessati, attraverso le casse dell’impianto.

Dall’ispezione è emerso inoltre che l’azienda utilizzava un applicativo che, quand’era in uso, tracciava, tramite GPS, in modo continuativo, la posizione del dipendente nel corso della propria attività, nonché data e ora del rilevamento, determinando così un controllo del lavoratore non consentito.

Il trattamento dei dati effettuato attraverso il sistema di videosorveglianza e quello di localizzazione erano effettuati senza che i lavoratori avessero ricevuto un’adeguata informativa e fossero state attivate le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o, in alternativa, autorizzazione dell’Ispettorato del lavoro). Per quanto riguarda la videosorveglianza è stata rilevata anche l’assenza di cartelli informativi in loco.

Allo scopo di rinforzare ulteriormente le misure di sicurezza ai locali aziendali, la Società aveva installato anche un sistema di allarme la cui attivazione e disattivazione si basava sul trattamento dei dati biometrici (impronte digitali) di 21 soggetti, tra cui i dipendenti.

Al riguardo nel provvedimento è stato rilevato che il trattamento dei dati biometrici, di regola vietato in quanto dati rientranti nelle cc.dd. categorie particolari di dati (art. 9 GDPR), è consentito solo al ricorrere di una delle condizioni tassativamente previste dal paragrafo 2 dell’art. 9 GDPR e, per quanto riguarda i trattamenti effettuati nell’ambito del rapporto di lavoro, solo quando il trattamento sia necessario per assolvere gli obblighi ed esercitare i diritti del titolare del trattamento o dell’interessato e sia previsto da una disposizione normativa, circostanze non rinvenibili nel caso di specie.

Oltre al pagamento della sanzione, il Garante ha disposto il divieto del trattamento dei dati raccolti mediante il sistema di videosorveglianza e il monitoraggio continuo della posizione del lavoratore.