Contattaci
Category

GDPR

2024, Controllo mail lavoratori, GDPR

Lavoro: dal Garante Privacy nuove tutele per la email dei dipendenti

I datori di lavoro pubblici e privati che per la gestione della posta elettronica utilizzano programmi forniti anche in modalità cloud da oggi hanno a disposizione nuove indicazioni utili a prevenire trattamenti di dati in contrasto con la disciplina sulla protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori.

Il Garante per la protezione dei dati personali ha infatti adottato un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati.

Il documento nasce a seguito di accertamenti effettuati dall’Autorità dai quali è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail). In alcuni casi è emerso anche che i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione.

Con il documento odierno il Garante chiede quindi ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione ad un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore. Periodo considerato congruo, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore.

I datori di lavoro che per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare (in particolare, ad esempio, per specifiche esigenze di sicurezza dei sistemi) avessero necessità di trattare i metadati per un periodo di tempo più esteso, dovranno espletare le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro). L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore.

Fonte: Garante

Best pratices, GDPR

Nuove linee guida sulla conservazione delle password

L’Agenzia per la Cybersicurezza Nazionale e il Garante per la protezione dei dati personali hanno redatto congiuntamente, specifiche linee guida relative alla conservazione delle password, fornendo indicazioni importanti circa le misure tecniche da adottare in ogni Organizzazione al fine di aumentare il livello di sicurezza.

Devono adottare tali linee guida tutte le organizzazioni (imprese e pubbliche amministrazioni – PA) nella misura in cui queste, agiscano sia come titolari che come responsabili del trattamento, e per l’effetto, conservino delle password.

Il paper completo “Linee guida alle funzioni crittografiche” può essere scaricato direttamente dal link PDF.

 

2023, GDPR, News, whistleblowing

Whistleblowing settore privato: tutte le info e la nostra soluzione

WHISTLEBLOWING 2023: LE RICHIESTE NORMATIVE

Il 2023 è l’anno in cui anche in Italia, attraverso il decreto legislativo n.24/2023 si recepisce la direttiva n. 1937/2019 concernente proprio l’introduzione di nuove misure per la protezione dei whistleblowers tanto nel settore pubblico quanto in quello privato e volta ad armonizzare le normative nazionali in ottica di rafforzamento dei principi di trasparenza e responsabilità e di prevenzione dei reati.

La direttiva trova applicazione nei confronti di tutti gli enti privati che abbiano più di 50 dipendenti, indipendentemente dalla natura delle loro attività e, di conseguenza, a prescindere dal fatto che tali enti abbiano adottato modelli organizzativi volti a ridurre il rischio di commissione di reati nell’interesse e a vantaggio dell’Ente – come quelli previsti dal d.lgs. 231/2001 – e con riferimento a qualsiasi violazione di diritto comunitario.

In Italia è ANAC (Autorità Nazionale Anti Corruzione) che sarà parte attiva nel ricevere le segnalazioni che non troveranno seguito negli enti privati, che erogherà le sanzioni del caso e che si preoccupa di fornire linee guida per l’applicazione delle norme in oggetto.

Sotto lo schema riassuntivo per il settore privato:

La novità è l’applicazione nei confronti di tutti gli enti privati che abbiano più di 50 dipendenti, indipendentemente dalla natura delle loro attività e, di conseguenza, a prescindere dal fatto che tali enti abbiano adottato modelli organizzativi volti a ridurre il rischio di commissione di reati nell’interesse e a vantaggio dell’Ente – come quelli previsti dal d.lgs. 231/2001 – e con riferimento a qualsiasi violazione di diritto comunitario.

Pertanto, ogni azienda sopra i 50 dipendenti è tenuta a conformarsi alle disposizioni di legge entro il 17 dicembre 2023.

COSA SERVE PER METTERSI A NORMA CON LA LEGGE SUL WHISTLEBLOWING

La legge prevede essenzialmente 2 rami di adeguamento: una parte che risponda ai requisiti di tutela per il segnalatore e, di conseguenza, sia conforme anche alle prescrizioni del GDPR; un’altra parte che preveda l’adozione di strumenti e procedure che permettano l’introduzione in azienda di quel canale interno di segnalazione che è la prima opzione cui si deve rivolgere il segnalante.

Ricordiamo, infatti, che i canali di segnalazione devono essere utilizzati in forma progressiva, nell’ordine segnalazione interna -> segnalazione esterna (ANAC) -> divulgazione pubblica.

Per far ciò è essenziale che l’azienda scelga strumenti adeguati per proteggere il whistleblower da possibili ritorsioni garantendo anonimato, riscontro e protezione da azioni illecite post segnalazione come ad es. licenziamento o sospensione, sanzioni, retrocessioni di grado, discriminazioni.

In seguito alle scelte adeguate dovranno essere messi in atto alcuni adempimenti sulla protezione dei dati, come la valutazione di impatto, aggiornate le informative e il registro del trattamento.

Questo perché il trattamento è considerato di quelli ad alto rischio, pertanto oltre a motivare adeguatamente le scelte fatte, sarà necessario formare adeguatamente il personale che dovrà occuparsi della gestione delle segnalazioni come misura essenziale.

IN COSA POSSIAMO AIUTARVI

Se ancora non avete provveduto a regolarizzare la vostra situazione in ambito di compliance con le prescrizioni del GDPR, è il momento di farlo. Non si può essere considerati conformi con la legge sul whistleblowing se non abbiamo un adeguato livello di accountability con il GDPR. Possiamo seguirvi inoltre anche se siete parzialmente conformi attraverso l’aggiornamento della documentazione già disponibile e guidarvi ovviamente in una redazione di una valutazione di impatto che sia efficace.

Se non avete già scelto un servizio per le segnalazioni interne possiamo offrirvi la nostra soluzione: una soluzione esternalizzata attraverso un motore open source che permette di rispondere alle richieste di legge, differenziando gli accessi e anonimizzandoli fin dall’accesso al sito.

Altro aspetto importante sarà la gestione del personale: da un lato saranno importanti le procedure operative da mettere in gioco e dall’altro le aziende dovranno formare adeguatamente il personale preposto, in modo da creare un flusso di lavoro corretto.

Se non avete ancora effettuato i passi per adeguarvi o non sapete quello che la vostra azienda deve fare, vi invitiamo a contattarci per informazioni su adeguamento, soluzioni e costi.

Get a Quote