+ 39 090 9796698
+39 347 10 88 468

E-mail aziendali: attenzione ai profili privacy

Recentemente il Garante per la protezione dei dati personali è entrato a gamba tesa sulla gestione delle e-mail aziendali, cioè quelle assegnate ai lavoratori da parte di una qualsiasi organizzazioni.

Un primo provvedimento di febbraio, sicuramente poco a fuoco, aveva scatenato il panico disponendo, di fatto, un obbligo di cancellazione dei contenuti delle e-mail aziendali entro pochi giorni dalla loro creazione, con conseguenze evidentemente ingestibili per la normale operatività di una qualsiasi organizzazione.

Con un successivo provvedimento di giugno 2024, il Garante è in parte ritornato sui suoi passi, identificando con chiarezza le informazioni per le quali è imposto un limite alle tempistiche di conservazione. Si tratta dei c.d. “metadati”, cioè le informazioni che vengono generate automaticamente dai sistemi di posta elettronica e non coincidono con i contenuti dei messaggi stessi. In particolare sono considerati metadati:

  • l’indirizzo e-mail del mittente della posta;
  • l’indirizzo e-mail del destinatario della posta;
  • l’indirizzo IP dei server o dei clienti;
  • gli orari di invio, di ritrasmissione o di ricezione;
  • la dimensione del messaggio;
  • la presenza e la dimensione di eventuali allegati.

I suddetti metadati, l’attività di raccolta e conservazione può essere effettuata per un periodo non superiore ai 21 giorni, salvi casi di necessità previsti dal titolare del trattamento dei dati e documentati in maniera oggettiva.

Cosa deve fare quindi il datore di lavoro per conformarsi alle indicazioni del Garante? Posto che la maggior parte dei datori di lavoro utilizza servizi forniti da provider e-mail, sarà nei confronti di questi soggetti che andranno indirizzate le richieste di adeguarsi alle indicazioni del garante, consentendo di poter modificare le impostazioni di default, impedendo la raccolta dei dati o limitandola. Qualora il fornitore di servizi non si conformi, l’unica possibilità sarà quella di cambiare provider se non si vuole incorrere in contestazioni.

2 Luglio 2024

Whistleblowing: nuovi obblighi per le imprese

Con l’approvazione del D.lgs. n. 24/2023 sono stati previsti nuovi obblighi per le aziende che hanno impiegato nell’ultimo anno, una media di lavoratori subordinati tra i 50 e i 249 e che dovranno, entro il 17 dicembre, conformarsi alle previsioni del decreto.

Il decreto, recependo i principi comunitari, interviene al fine di assicurare protezione per i whistleblowers pubblici e privati, cioè per quei soggetti che, all’interno di un’organizzazione, segnalano ai soggetti incaricati attività illecite o fraudolente. L’intervento amplia la portata di regole già esistenti sia nel settore pubblico (D.lgs. 165/2001) sia nel settore privato (D.Lgs. 231/2001), quest’ultimo però applicabile in passato solo su base volontaria.

Nel settore privato, in particolare, l’obbligo di conformarsi alle nuove norme è adesso previsto alternativamente:

  • per i soggetti che hanno impiegato, nell’ultimo anno, la media di almeno 50 lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato;
  • per i soggetti che operano nei settori dei servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo, tutela dell’ambiente e sicurezza dei trasporti
  • per i soggetti che adottano spontaneamente un modello di organizzazione e gestione di cui al D.Lgs. n. 231/2001.

Le persone legittimate ad effettuare le segnalazioni di attività illecite o fraudolente comprende:

  • i lavoratori dipendenti
  • i lavoratori autonomi, nonché i titolari di un rapporto di collaborazione;
  • i liberi professionisti e i consulenti;
  • i volontari e i tirocinanti, retribuiti e non retribuiti;
  • gli azionisti e le persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza.

In particolare per attività illecite o fraudolente da segnalare si intendono:

  • illeciti amministrativi, contabili, civili o penali;
  • condotte illecite ai sensi del D.Lgs. n. 231/2001 o violazione dei modelli organizzativi e gestionali previsti dallo stesso decreto;
  • illeciti che rientrano nell’ambito di applicazione degli atti dell’UE o nazionali indicati nello specifico allegato al decreto o nell’allegato alla direttiva (UE) 2019/1937, nei settori degli appalti pubblici, servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo, sicurezza e conformità dei prodotti, sicurezza dei trasporti, tutela dell’ambiente, radioprotezione e sicurezza nucleare, sicurezza degli alimenti mancini e salute e benessere degli animali, salute pubblica, protezione die consumatori, tutela della privacy e delle reti e sistemi informativi;
  • atti od omissioni che ledono interessi finanziari dell’UE;
  • atti od omissioni riguardanti il mercato interno;
  • atti o comportamenti che vanificano l’oggetto o la finalità delle disposizioni UE nei settori richiamati dal decreto.

Il decreto in particolare prevede che i soggetti privati debbano creare degli appositi canali di segnalazioni interni, attraverso i quali il whistleblower possa segnalare l’illecito per iscritto, anche con modalità informatiche, busta chiusa o in forma anche orale attraverso linee telefoniche o sistemi messaggistica vocale o, su richiesta del segnalante, mediante un incontro diretto.

L’obbligo si sostanzia nell’adozione di una piattaforma di segnalazione sicura, che tuteli la riservatezza dell’identità e i dati personali dei denuncianti. Le imprese dovranno gestire le segnalazioni tramite software che utilizzano sistemi crittografici, adeguati a garantire la riservatezza dell’identità del segnalante, della persona coinvolta e del contenuto della segnalazione. Il trattamento dei dati personali e la documentazione relativa alle segnalazioni dovranno essere gestiti rispettando le regole e i principi contenuti nel GDPR.

A seguito della segnalazione, i soggetti individuati all’interno dell’organizzazione per gestirla, dovranno:

  • rilasciare al whistleblower un avviso di ricevimento entro sette giorni dalla segnalazione;
  • mantenere interlocuzioni con il whistleblower richiedendo eventualmente integrazioni;
  • dare seguito alla segnalazione fornendo un riscontro entro tre mesi dalla ricezione della stessa.
21 Ottobre 2023

Privacy, al via i controlli: ecco le prime imprese interessate

Prende il via il piano delle ispezioni per il primo semestre 2019 che vedranno collaborare l’Autorità Garante e la Guardia di Finanza nei controlli per la verifica del rispetto del GDPR.

La deliberazione del Garante per la Privacy fornisce i dettagli sui nuovi controlli che coinvolgeranno le imprese e, nello specifico, istituti di credito, sanità, sistema statistico nazionale (Sistan), Spid, telemarketing, carte di fedeltà, grandi banche dati pubbliche.

Sono questi i settori sui quali nei prossimi mesi punterà la sua lente il Garante per la protezione dei dati personali. Non solo: i soggetti verso i quali si concentreranno i primi controlli sulla privacy saranno tutti quelli che trattano dati sensibili con l’azione dell’Autorità, supportata dal Nucleo speciale privacy della Guardia di Finanza, finalizzata a verificare che siano rispettati i principi stabiliti dal GDPR in materia di protezione dei dati personali.

I controlli riguarderanno:

  • i trattamenti effettuati dall’ISTAT, per una verifica preliminare sul SIM (Sistema Integrato di Microdati) e altri sistemi informativi statistici come da parere sul programma statistico nazionale del 20 ottobre 2015;
  • i trattamenti di dati personali effettuati per il rilascio dell’identità federata (SPID);
  • i trattamenti di dati personali effettuati da Istituti bancari, con particolare riferimento ai flussi di cui all’anagrafe dei conti;
  • i trattamenti di dati personali effettuati da società per attività di marketing;
  • i trattamenti di dati personali effettuati da Enti pubblici, con riferimento a banche dati di notevoli dimensioni;
  • i trattamenti di dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione.

I controlli deliberati dal Piano ispettivo valido fino al mese di giugno 2019 si concentreranno anche sull’adozione delle misure di sicurezza da parte di pubbliche amministrazioni e di imprese che trattano dati sensibili.

Da tenere presente che nel corso del 2018 sono state adottate 175 ordinanze-ingiunzione, con un incremento delle sanzioni comminate e delle somme riscosse pari ad un totale di 8.161.806 euro, a fronte dei 3.776.694 euro registrati nel 2017 (con una variazione positiva del +116%).

30 Aprile 2019
Semplifica la tua ricerca di informazioni utili

Iscriviti alla nostra Newsletter gratuita

Parla con noi

Se hai bisogno di una squadra di consulenti che ha a cuore le tue esigenze, vieni a trovarci allo studio.
Oppure chiama, manda una mail, un fax, un messaggio su whatsapp o sui social…
Ti servono solo un paio di minuti, contattaci adesso.

  • Via J.F.Kennedy, 63- 98051 Barcellona P.G. (ME)

  • +39 090 9796698

  • + 39 090 5720002
  • info@studiomami.it
Studio Mamì - Logo Footer
FacebookTelegramLinkedin

Studio Mamì | Via J.F.Kennedy, 63 - 98051 Barcellona P.G. (ME) | Tel +39 090 9796698 - Fax +39 090 5720002 - info@studiomami.it | P. IVA: 02121020834

Privacy Policy
Cookie Policy
Credits
Firma Elettronica Avanzata

Benvenuto sul sito dello Studio Mamì

KbxBotIcon