Il titolare del trattamento deve verificare che i programmi e servizi informatici utilizzati per la gestione della posta elettronica in uso ai dipendenti, specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service, gli consentano di modificare le impostazioni di base, impedendo la raccolta di metadati o quanto meno, limitando il periodo di conservazione degli stessi ad un limite massimo di sette giorni, estensibile di ulteriori 48 ore. L'utilizzo dei programmi e servizi informatici non conformi va cessato.
Il Titolare del trattamento ha altresì l'obbligo di garantire la massima trasparenza nei confronti dei lavoratori, fornendo agli stessi una specifica informativa sul trattamento di dati personali prima di iniziare il trattamento con l'utilizzo di questo strumenti, tenendo conto che l’adempimento degli obblighi informativi nei confronti dei dipendenti (consistenti nella “adeguata informazione/formazione delle modalità d'uso degli strumenti e di effettuazione dei controlli”) costituisce una precondizione necessaria affinché il trattamento (dati raccolti attraverso strumenti tecnologici, da parte del datore di lavoro), considerarsi lecito, anche a tutti i fini connessi al rapporto di lavoro (art. 4, co. 3, della l. n. 300/1970).
Queste prescrizioni valgono anche nel caso in cui, in ambito pubblico, i programmi e servizi informatici in questione siano acquistati mediante le convenzioni/piattaforme che le pubbliche amministrazioni devono o possono utilizzare per l’acquisto di beni e servizi.
Ai produttori dei servizi e delle applicazioni, il Garante per la Protezione dei Dati personali prescrive che, già in fase di sviluppo e progettazione di tali servizi ed applicazioni, il produttore deve tenere conto del diritto alla protezione dei dati tenuto conto dello stato dell’arte (v. cons. 78 del Regolamento) e pertanto produrre un prodotto compliance al GDPR e a queste prescrizioni.
Quando si utilizzano (sia in ambito privato che pubblico) servizi basati su cloud, vanno adottate le misure di sicurezza indicate nel report “2022 Coordinated Enforcement Action Use of cloud.based services by public sector” del Comitato Europeo per la Protezione dei Dati (Provvedimento adottato il 17 gennaio 2023), di seguito si da indicazione di queste misure obbligatorie da applicare:
- Effettuare una valutazione di impatto (ossia una valutazione dei rischi)
- Garantire che i ruoli delle parti coinvolte siano determinai in modo chiaro ed inequivocabile (conferimenti di outsourcing nei confronti dei Responsabili del Trattamento).
- Garantire che il cloud agisca solo per conto e secondo le istruzioni documentate dal Titolare del trattamento (soggetto appaltante).
- Individuare eventuali trattamenti da parte del cloud in qualità di titolare del trattamento (contratto tra le parti che definisce questo ruolo giuridico di autonomia)
- Garantire che sia possibile un modo significativo per opporsi agli eventuali sub-responsabili del trattamento.
- Garantire che i dati personali siano determinati in relazione agli scopi per i quali sono raccolti ed elaborati.
- Promuovere sempre il coinvolgimento del DPO.
- Cooperare con altri enti pubblici/privati nella negoziazione con i fornitori di cloud.
- Effettuare periodiche revisioni (ossia controlli e verifiche) per valutare se il trattamento viene effettuato in conformità con la DPIA e revisionare la DPIA ove serve.
- Garantire che la procedura di appalto preveda tutti i requisiti necessari, ossia la conformità del produttore al GDPR.
- Identificare quali trasferimenti possono avvenire nell’ambito della fornitura di servizi di routine, nonché in caso di trattamenti di dati personali per finalità aziendali.
- Analizzare se al cloud si applicherebbe la legislazione di un paese terzo e se ciò prevederebbe la possibilità di rispondere alle richieste di accesso ai dati archiviati dal cloud
- Esaminare attentamente e se necessario rinegoziare il contratto.
- Contribuire alla effettuazione degli audit ed assicurarsi che siano a posto.
RM CONSULTING di Roberta Monari