EL GARANTE DE LA PROTECCIÓN DE DATOS PERSONALES

EN LA REUNIÓN DE HOY, a la que han asistido el Prof. Pasquale Stanzione, presidente, la Prof. Ginevra Cerrina Feroni, vicepresidenta, el Dr. Agostino Ghiglia y el Sr. Guido Scorza, vocales, y el Cons. Fabio Mattei, Secretario General;

VISTO el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, el «Reglamento general de protección de datos» (en lo sucesivo, el «Reglamento»), y en particular sus artículos 5, 6 y 88

VISTO el Decreto Legislativo n.º 196, de 30 de junio de 2003, sobre el «Código de protección de datos personales», que contiene disposiciones para la adaptación del sistema nacional al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en lo sucesivo, el «Código»), y en particular sus artículos 113 y 114

VISTOS los artículos 4 y 8 de la Ley nº 300, de 20 de mayo de 1970, y el artículo 10 del Decreto Legislativo nº 276, de 10 de septiembre de 2003, sin perjuicio de los artículos 113 y 114 del Código

CONSIDERANDO que, en el ámbito de las investigaciones llevadas a cabo por el Garante en relación con el tratamiento de datos personales efectuado en el lugar de trabajo, se puso de manifiesto el riesgo de que los programas y servicios informáticos de gestión del correo electrónico, comercializados por los proveedores en modalidad cloud, pudieran recoger por defecto, de forma preventiva y generalizada, los metadatos relativos a la utilización de las cuentas de correo electrónico en uso por los empleados, almacenándolos durante un largo período de tiempo; Ello, en ocasiones, también impone limitaciones al cliente (empresario) en cuanto a la posibilidad de modificar la configuración básica del programa informático con el fin de desactivar la recogida sistemática de tales datos o de reducir el período de conservación de los mismos;

CONSIDERANDO que, en el marco de las tareas atribuidas al Garante destinadas a promover el conocimiento y la comprensión por parte del público, los responsables y los encargados del tratamiento de datos de las normas, obligaciones, riesgos, garantías y derechos establecidos por el Reglamento también mediante documentos de orientación [artículo 57, apartado 1, letras b) y d), del Reglamento artículo 154-bis, apartado 1, letra a), del Código], esta Autoridad ha adoptado con carácter preliminar el documento de orientación «Programas y servicios informáticos para la gestión del correo electrónico en el contexto laboral y el tratamiento de metadatos» (provv. nº. a), del Código), esta Autoridad ha adoptado con carácter preliminar el documento de orientación «Programas y servicios informáticos para la gestión del correo electrónico en el contexto laboral y el tratamiento de metadatos» (provv. de 21 de diciembre de 2023, nº 642, doc. web nº 9978728) con el fin de llamar la atención sobre determinados puntos de intersección entre las normas de protección de datos y las normas que establecen las condiciones de utilización de las herramientas tecnológicas en el lugar de trabajo;

VISTA la disposición de 22 de febrero de 2024, n.º 127, doc. web n.º 9987885, por la que, atendiendo a las solicitudes de aclaración recibidas por el Garante, se inició una consulta pública sobre la adecuación, en relación con las finalidades perseguidas por los empresarios públicos y privados, del plazo de conservación de los metadatos (en adelante también denominados «logs») generados y recogidos automáticamente por los protocolos de transmisión y clasificación de correo electrónico, suspendiendo la vigencia del citado documento normativo (ver anuncio público de inicio de consulta sobre el plazo de conservación de los metadatos generados y recogidos automáticamente por los protocolos de transmisión y clasificación de correo electrónico, publicado en el Boletín Oficial del Estado nº 64, de 16 de marzo de 2024)

VISTOS los comentarios y propuestas recibidos por el Garante en el marco de la citada consulta pública

CONSIDERANDO que es necesario introducir modificaciones y adiciones específicas en el citado documento normativo, con vistas también a facilitar la comprensión del alcance de las operaciones de tratamiento tomadas en consideración y de las indicaciones proporcionadas, a fin de promover el conocimiento de las opciones técnicas y organizativas adoptadas por los empresarios, en su calidad de responsables del tratamiento de datos, y evitar iniciativas y operaciones de tratamiento de datos que entren en conflicto con la normativa en materia de protección de datos y con las normas que protegen la libertad y la dignidad de los trabajadores

CONSIDERANDO, además, que también es necesario proporcionar indicaciones sobre los criterios que pueden orientar las elecciones de los empleadores a la hora de identificar el posible período de conservación de los mencionados registros, a efectos de aplicar la excepción contenida en el artículo 4, apartado 2, de la Ley nº 300, de 20 de mayo de 1970, con respecto a la norma enunciada en el apartado 1, con el fin de asegurar el correcto funcionamiento y el uso regular del sistema de correo electrónico, incluidas las garantías esenciales de seguridad informática

CONSIDERANDO, por lo tanto, que es necesario adoptar una versión actualizada del Documento Directriz titulado «Programas y servicios informáticos para la gestión del correo electrónico en el ámbito laboral y el tratamiento de los metadatos» (anexo nº 1), que forma parte integrante de la presente medida;

VISTA la documentación obrante en el expediente

HABIENDO CONSIDERADO las observaciones formuladas por el Secretario General en aplicación del artículo 15 del Reglamento del Garante nº 1/2000 relativo a la organización y funcionamiento de la oficina del Garante para la protección de datos de carácter personal, doc. web nº 1098801;

INFORMADOR Dr. Agostino Ghiglia;

RESUELVE

adoptar una versión actualizada del documento de orientación titulado «Programas y servicios informáticos para la gestión del correo electrónico en el ámbito laboral y el tratamiento de los metadatos» (anexo nº 1), que forma parte integrante de la presente medida.

Roma, 6 de junio de 2024

EL PRESIDENTE
Stanzione

EL RELATOR
Ghiglia

EL SECRETARIO GENERAL
Mattei

DOCUMENTO DE ORIENTACCIÓN

Programas y servicios informáticos para la gestión del correo electrónico en el entorno laboral y el tratamiento de metadatos

1. Introducción

En el marco de las investigaciones llevadas a cabo por el Garante en relación con el tratamiento de datos personales realizado en el ámbito laboral, se puso de manifiesto el riesgo de que los programas y servicios informáticos de gestión del correo electrónico, incluso comercializados por proveedores basados en la nube, puedan recoger por defecto, de forma preventiva y generalizada, metadatos relativos al uso de las cuentas de correo electrónico en uso por los empleados, almacenándolos durante un periodo de tiempo prolongado. En el resto de este documento, se hará referencia alternativamente a «metadatos de correo electrónico» o «registros de correo electrónico».

Los metadatos a los que se refiere este documento normativo, sometido a consulta pública, corresponden técnicamente a la información registrada en los logs generados por los sistemas servidores de gestión y clasificación del correo electrónico (MTA = Mail Transport Agent) y por los puestos de trabajo en la interacción que tiene lugar entre los distintos servidores interactuantes y, en su caso, entre éstos y los clientes (los puestos de trabajo terminales que envían los mensajes y permiten la consulta de la correspondencia entrante accediendo a los buzones electrónicos, definidos en las normas técnicas como MUA – Mail User Agent).

Esta información relativa a las operaciones de envío y recepción y clasificación de mensajes puede incluir las direcciones de correo electrónico del remitente y del destinatario, las direcciones IP de los servidores o clientes que intervienen en el encaminamiento del mensaje, las horas de envío, retransmisión o recepción, el tamaño del mensaje, la presencia y el tamaño de los eventuales archivos adjuntos y, en algunos casos, según el sistema de gestión del servicio de correo electrónico utilizado, incluso el asunto del mensaje enviado o recibido.

Los metadatos a los que se hace referencia en este documento (tanto los de origen puramente técnico como los que, como el campo «Asunto», determinan los usuarios) tienen la característica de ser registrados automáticamente por los sistemas de correo electrónico, con independencia de la percepción y voluntad del usuario.

Los mismos metadatos, tal como se entienden aquí, no deben confundirse en modo alguno con la información contenida en los mensajes de correo electrónico en su «cuerpo» (cuerpo del mensaje) o incluso integrada en ellos -aunque a veces no sea inmediatamente visible para los usuarios de software «cliente» de correo electrónico (el denominado MUA – Mail User Agent)- para formar el denominado sobre, es decir, el conjunto de cabeceras técnicas estructuradas que documentan el encaminamiento del mensaje, su origen y otros parámetros técnicos. La información contenida en el sobre, aunque corresponda a metadatos registrados automáticamente en los registros del servicio de correo, es inseparable del mensaje del que forma parte integrante y que permanece bajo el control exclusivo del usuario (ya sea el remitente o el destinatario de los mensajes).

Por lo tanto, las indicaciones contenidas en el documento en relación con los plazos de conservación de los metadatos definidos anteriormente no se refieren al contenido de los mensajes de correo electrónico (ni a la información técnica que en cualquier caso forma parte integrante de los mismos), que permanecen a disposición del usuario/trabajador, dentro del buzón de correo electrónico que se le haya asignado.

El presente documento no contiene prescripciones ni introduce nuevas obligaciones para los responsables del tratamiento, sino que pretende ofrecer una reconstrucción sistemática de las disposiciones aplicables en este ámbito específico, a la luz de determinadas decisiones anteriores de la Autoridad, con el único fin de llamar la atención sobre determinados puntos de intersección entre la normativa en materia de protección de datos y las normas que establecen las condiciones de utilización de los instrumentos tecnológicos en el lugar de trabajo.

En esta perspectiva, la Autoridad también pretende proporcionar a los empresarios indicaciones sobre la posibilidad de procesar dicha información para permitir el correcto funcionamiento y el uso regular del sistema de correo electrónico, incluidas las garantías esenciales de seguridad informática, sin necesidad de activar el procedimiento de garantía previsto en el artículo 4, apartado 1, de la Ley nº 300 de 20/5/1970, a la que se refiere expresamente el artículo 114 del Código.

Dado el carácter orientativo del Documento de Orientación, de él no se derivan nuevas obligaciones o responsabilidades.

A la luz de las observaciones y propuestas recibidas por el Garante en el ámbito de la consulta pública a la que se sometió el presente documento (provv. de 22 de febrero de 2024, n.º 127, doc. web n.º 9987885; Gaceta Oficial n.º 64 de 16 de marzo de 2024), se han introducido algunas modificaciones y adiciones al presente documento normativo también con referencia a los criterios que pueden orientar las elecciones de los empresarios a la hora de determinar el posible período de conservación de los mencionados registros, a efectos de la aplicación de la excepción contenida en el art. 4, párrafo 2, de la Ley nº 300, de 20 de mayo de 1970, con respecto a la norma enunciada en el párrafo 1, con el fin de garantizar el buen funcionamiento y la utilización regular del sistema de correo electrónico, incluidas las garantías esenciales de seguridad informática. También se hicieron aclaraciones sobre el ámbito objetivo del documento, indicando asimismo la definición de metadatos, y sobre la naturaleza del documento. Por último, se llamó la atención de los proveedores de servicios de correo electrónico sobre la necesidad de tener en cuenta el derecho a la protección de datos de acuerdo con el estado de la técnica, ya a la hora de diseñar servicios y productos.

2. Legislación sobre protección de datos

Como afirma constantemente el Garante, el contenido de los mensajes de correo electrónico – así como los datos externos de las comunicaciones y los archivos adjuntos – se refieren a formas de correspondencia asistidas por garantías de secreto que también están protegidas constitucionalmente (artículos 2 y 15 de la Constitución italiana), que protegen el núcleo esencial de la dignidad personal y el pleno desarrollo de la personalidad de la persona en las formaciones sociales. Esto implica que, también en el contexto laboral público y privado, existe una legítima expectativa de confidencialidad en relación con los mensajes que son objeto de correspondencia (véase el punto 5.2 lett. b), de las «Directrices del Garante para el correo electrónico e Internet» de 1 de marzo de 2007, n.º 13, doc. web n.º 1387522; cf., entre otras muchas, prov. 4 de diciembre de 2019, n.º 216, doc. web n.º 9215890 y los precedentes allí citados).

Considerando que la utilización de los mencionados programas y servicios informáticos da lugar a un «tratamiento» de datos personales, referidos a «interesados», identificados o identificables (art. 4.1.1 y 2 del Reglamento) en el contexto laboral, es necesario que el empresario, como responsable del tratamiento, verifique la existencia de un adecuado requisito previo de licitud (cf. artículos 5, apartado 1, letra a), y 6 del Reglamento) antes de tratar los datos personales de los trabajadores mediante dichos programas y servicios, respetando las condiciones de utilización lícita de las herramientas tecnológicas en el contexto laboral (artículo 88, apartado 2, del Reglamento).

En particular, debe verificarse siempre la existencia de las condiciones de legalidad establecidas por el artículo 4 de la Ley nº 300 de 20 de mayo de 1970, a la que se refiere el artículo 114 del Código. 114 del Código, así como el cumplimiento de las disposiciones que prohíben al empleador adquirir y en cualquier caso procesar información que no sea pertinente para la evaluación de la aptitud profesional del empleado o que en cualquier caso pertenezca a su esfera privada (artículo 8 de la Ley nº 300 de 20 de mayo de 1970 y artículo 10 del Decreto Legislativo nº 276 de 10 de septiembre de 2003, al que remite el artículo 113 del Código). De hecho, los artículos 113 y 114 del Código se consideran, en el ordenamiento jurídico italiano, disposiciones más específicas y garantistas que el artículo 88 del Reglamento, cuyo cumplimiento constituye una condición para la licitud del tratamiento y cuya infracción determina, además de la aplicación de multas administrativas con arreglo al artículo 83, apartado 5, letra d), del Reglamento, también la posible concurrencia de responsabilidad penal (véase el artículo 171 del Código).

El responsable del tratamiento también está obligado a respetar los principios generales del tratamiento (artículos 5, 24 y 25 del Reglamento) y a establecer todas las obligaciones previstas por las disposiciones legales sobre protección de datos personales (véanse los artículos 12, 13, 14, 30, 32 y 35 del Reglamento), también en lo que respecta a la necesidad de proporcionar a los interesados de forma correcta y transparente una representación clara del tratamiento global realizado, que les permita disponer de todos los elementos de información esenciales previstos por el Reglamento y conocer plenamente, antes del inicio del tratamiento, las características del propio tratamiento (véase la sentencia del Tribunal Europeo de Derechos Humanos de 5 de septiembre de 2017 – Asunto n.º 61496/08 – Caso Barbulescu c. Rumanía, espec. párrs. 133 y 140).

Además, en aplicación del principio de «habilitación» (véanse los arts. 5.2 y 24 del Reglamento), corresponde al responsable del tratamiento evaluar si las operaciones de tratamiento previstas pueden entrañar un alto riesgo para los derechos y libertades de las personas físicas -en razón de las tecnologías empleadas y habida cuenta de la naturaleza, el objeto, el contexto y los fines perseguidos-, lo que hace necesaria una evaluación previa de impacto relativa a la protección de datos (véanse el Cons. 90 y los arts. 35 y 36 del Reglamento).

Asimismo, teniendo en cuenta las orientaciones también proporcionadas a nivel europeo sobre este punto, tal necesidad se plantea, en particular, en el caso de la recogida y almacenamiento de registros de correo electrónico, dada la particular «vulnerabilidad» de los interesados en el contexto laboral, así como el riesgo de «vigilancia sistemática», entendida como «tratamiento utilizado para observar, vigilar o controlar a los interesados, incluidos los datos recogidos a través de redes» (Grupo de Trabajo Art. 29, «Directrices relativas a la evaluación del impacto sobre la protección de datos, así como a los criterios para determinar si una operación de tratamiento», WP 248, 4 de abril de 2017; véanse cons. 75 y arts. 35 y 88.2 del Reglamento; véase también prov. n.º 467, 11 de octubre de 2018, doc. web n.º 9058979, anexo n.º 1; véanse, entre otras, prov. núm. 190, de 13 de mayo de 2021, doc. web núm. 9669974, apartado 3.5).

3. Las normas sectoriales sobre el control remoto

El artículo 4, apartado 1, de la Ley n.º 300, de 20 de mayo de 1970, modificada por el Decreto Legislativo n.º 151, de 14 de septiembre de 2015, identifica perentoriamente las finalidades (es decir, organizativas, productivas, de seguridad en el trabajo y de protección del patrimonio de la empresa) para las que pueden utilizarse en el ámbito laboral los instrumentos de los que deriva también la posibilidad de control a distancia de la actividad de los trabajadores, estableciendo garantías procedimentales precisas (acuerdo sindical o autorización pública).

Por otra parte, las garantías mencionadas no se aplican a «los instrumentos de registro de acceso y asistencia», así como a «los instrumentos utilizados por el trabajador para realizar su trabajo» (apartado 2 del artículo 4 de la Ley nº 300/1970). Esta disposición introduce una excepción, frente al régimen más restrictivo previsto en el apartado 1, por lo que debe ser objeto de una interpretación estricta, habida cuenta de la responsabilidad, incluso penal, que puede derivarse del incumplimiento del marco normativo mencionado. Por elección expresa del legislador, sólo aquellos instrumentos preordenados, también en razón de sus características de configuración técnica, al «registro de acceso y asistencia» y a la «prestación del servicio» no están, por tanto, sujetos a los límites y garantías previstos en el apartado 1, en la medida en que son funcionales para permitir el cumplimiento de las obligaciones derivadas directamente del contrato de trabajo, es decir, la presencia en el servicio y la prestación del servicio.

A la luz de las disposiciones citadas, para que se considere aplicable el apartado 2 del artículo 4 de la Ley nº 300/1970, la actividad de recogida y almacenamiento únicamente de los metadatos/logs necesarios para garantizar el funcionamiento de las infraestructuras del sistema de correo electrónico, tras evaluaciones técnicas y en cumplimiento del principio de responsabilidad, podrá realizarse, por regla general, por un período limitado a unos pocos días; a título orientativo, dicho almacenamiento no deberá superar los 21 días. Siempre en el marco de la finalidad antes mencionada (garantizar el funcionamiento de la infraestructura del sistema de correo electrónico), a la que es aplicable el apartado 2 del artículo 4 de la Ley nº 300/1970, podrá llevarse a cabo el almacenamiento durante un período aún más largo, únicamente en presencia de condiciones particulares que hagan necesaria su prórroga, demostrando adecuadamente, en aplicación del principio de responsabilidad establecido en el apartado 2 del artículo 5 del Reglamento, las especificidades de la situación técnica y organizativa del responsable del tratamiento. En cualquier caso, corresponde al responsable del tratamiento adoptar todas las medidas técnicas y organizativas que garanticen el respeto del principio de limitación de la finalidad, la accesibilidad selectiva únicamente por las personas autorizadas y debidamente instruidas, y el seguimiento de los accesos efectuados.

Por otra parte, la recogida y el almacenamiento generalizados de registros de correo electrónico, durante un período de tiempo más largo, ya que puede suponer un control indirecto a distancia de las actividades de los trabajadores, requiere la aplicación de las garantías previstas en el apartado 1 del artículo 4 de la Ley nº 300/1970 (véase, más recientemente, la Orden nº 409 de 1 de diciembre de 2022, doc. web. Se entiende que dicho almacenamiento también debe realizarse respetando el principio de limitación del almacenamiento (véase el punto 4.2 infra).

4. Las posibles responsabilidades de los empresarios públicos y privados

4.1 Licitud del tratamiento

Por lo que respecta a la licitud del tratamiento, cabe señalar en primer lugar que la utilización de sistemas y soluciones de gestión y almacenamiento de registros de comunicaciones electrónicas (tal como se definen en el documento anterior) puede considerarse incluida en la excepción prevista en el apartado 2 del artículo 4 de la Ley nº 300/1970 en los casos, condiciones y para los fines ya mencionados en el apartado 3 anterior.

Otros perfiles de ilicitud pueden derivarse entonces de la utilización ulterior de los datos personales recogidos en ausencia de las garantías mencionadas. Ello se debe a que el artículo 4, apartado 3, de la Ley nº 300/1970 sólo permite el uso, para fines relacionados con la gestión de la relación laboral, de la información ya recopilada legalmente en cumplimiento de las condiciones y los límites previstos en los apartados 1 y 2 y, por lo tanto, dentro de los límites en los que se llevó a cabo legalmente la recopilación original y proporcionando «información adecuada sobre las modalidades de uso de los instrumentos y de realización de los controles» de conformidad con lo dispuesto en la normativa sobre protección de datos personales (cf. Prov.ti 28 de octubre de 2021, nº 384, y doc. web nº 9722211). prov.ti 28 de octubre de 2021, n.º 384, doc. web n.º 9722661, y 13 de mayo de 2021, n.º 190, doc. web n.º 9669974).

Además, a partir de los elementos que se pueden derivar de los datos externos de la correspondencia, como el sujeto, el remitente y el destinatario y otras informaciones que acompañan a los datos en tránsito, definiendo sus perfiles temporales (como la fecha y la hora de envío/recepción), así como los aspectos cuali-cuantitativos también relativos a los destinatarios y a la frecuencia de contacto (ya que estos datos también son, a su vez, susceptibles de agregación, tratamiento y control), es posible adquirir información referida a la esfera personal o a las opiniones del interesado.

A este respecto, cabe recordar que, desde 1970, los empleadores públicos y privados tienen prohibido «realizar indagaciones, incluso a través de terceros, sobre las opiniones políticas, religiosas o sindicales del empleado, así como sobre hechos no pertinentes para la evaluación de la aptitud profesional del empleado» (véase el artículo 8 de la Ley nº 300/1970 y el artículo 10 del Decreto Legislativo nº 276, de 10 de septiembre de 2003, expresamente mencionado en el artículo 113 del Código). La recopilación y el almacenamiento generalizados de metadatos relativos al uso del correo electrónico por parte de los empleados, durante un período de tiempo prolongado, en ausencia de requisitos legales previos adecuados, puede, por lo tanto, implicar la posibilidad de que el empleador adquiera información relativa a la esfera personal o a las opiniones de la persona en cuestión y, por lo tanto, irrelevante a efectos de evaluar la aptitud profesional del empleado.

4.2 Principio de equidad y transparencia

En cualquier caso, todos los responsables del tratamiento de datos están llamados a verificar que la recogida y el almacenamiento de los registros se efectúan respetando los principios de equidad y transparencia frente a los trabajadores, y que éstos han sido adecuadamente informados sobre el tratamiento de los datos personales relativos a las comunicaciones electrónicas que les conciernen (véanse los artículos 5.1.a), 12, 13 y 14 del Reglamento).

A este respecto, es esencial que los interesados sean plenamente conscientes de las características generales del tratamiento (especificación de los periodos de conservación de los datos, posibles controles, etc.).

4.3 Principio de limitación de la conservación

En cualquier caso, los plazos de conservación de los metadatos deben ser proporcionales a los fines legítimos perseguidos. En particular, los fines relacionados con la seguridad informática y la protección de los activos informáticos justifican la conservación de los metadatos durante un periodo de tiempo congruente con el objetivo de detectar y mitigar cualquier incidente de seguridad, adoptando rápidamente las contramedidas adecuadas. Cuando los periodos de conservación no se definen de forma proporcionada a los fines del tratamiento, el responsable del tratamiento puede estar infringiendo el principio de «conservación limitada» (artículo 5.1.e) del Reglamento).

4.4 Principios de protección de datos desde el diseño y por defecto y principio de responsabilidad

El empresario también debe adoptar medidas para garantizar el cumplimiento de los principios de protección de datos desde la concepción del tratamiento y por defecto (Art. 25 del Reglamento) a lo largo de todo el ciclo de vida de los datos, «incorporando al tratamiento las medidas y garantías apropiadas para asegurar la efectividad de los principios de protección de datos y de los derechos y libertades de los interesados» y garantizando que «[sólo] se efectúe por defecto el tratamiento estrictamente necesario para alcanzar el fin específico y lícito», también con respecto al período de conservación de los datos, «en todas las etapas del diseño de las actividades de tratamiento, incluidas la adquisición, la licitación, la externalización, el desarrollo, el apoyo, el mantenimiento, las pruebas, el almacenamiento, la supresión, etc. » («Directriz 4/2019 sobre el artículo 25 – Protección de datos desde el diseño y por defecto», adoptada por el Consejo Europeo de Protección de Datos el 20 de octubre de 2020).

Además, considerando que el responsable del tratamiento, como entidad sobre la que recaen las decisiones sobre los fines y los medios del tratamiento de los datos personales de los interesados, tiene una «responsabilidad general» por las operaciones de tratamiento realizadas (cons. 74 del Reglamento; cf. Prov, entre muchas otras, la Prov. n.º 43, de 10 de febrero de 2022, doc. web n.º 9751498 y la provv. anterior a la que se hace referencia en la misma; véanse también las «Directrices 07/2020 sobre los conceptos de responsable y encargado del tratamiento de datos en el marco del RGPD», adoptadas por el Consejo Europeo de Protección de Datos el 7 de julio de 2021, esp. párr. 174), las operaciones de tratamiento en cuestión también pueden implicar una infracción del principio de «responsabilidad» (artículos 5, apartado 1, y 24 del Reglamento), según el cual el responsable del tratamiento está obligado a cumplir los principios de protección de datos (artículo 5, apartado 1, del Reglamento) y debe poder demostrarlo (artículo 5, apartado 2, del Reglamento). Esto también se aplica a las medidas técnicas y organizativas adecuadas establecidas para garantizar el cumplimiento de las normas de protección de datos y cualquier normativa sectorial aplicable (artículo 24, apartado 1, del Reglamento).

Como ha puesto de relieve recientemente el Garante, el responsable del tratamiento, incluso cuando utiliza productos o servicios prestados por terceros, debe verificar, también con el apoyo del delegado de protección de datos, cuando haya sido designado, el cumplimiento de los principios aplicables al tratamiento de datos (art. 5 del Reglamento) mediante la adopción, en cumplimiento del principio de responsabilidad, de las medidas técnicas y organizativas apropiadas y mediante la emisión de las instrucciones necesarias al proveedor de servicios (véanse los artículos 5, apartado 2, 24, 25 y 32 del Reglamento; cf. art. 5 del Reglamento), con respecto a las operaciones de tratamiento específicas en el contexto del empleo, Provv. n.º 384, doc. web n.º 9722661, de 28 de octubre de 2021, y n.º 235, doc. web n.º 9685922, de 10 de junio de 2021; pero véase también Provv. n.º 282, doc. web n.º 9525337, de 17 de diciembre de 2020). Por lo tanto, el responsable del tratamiento debe garantizar que se desactiven las funciones que no sean compatibles con los fines del tratamiento o que entren en conflicto con las normas sectoriales específicas establecidas por la ley, por ejemplo, también de forma adecuada a los períodos de conservación de datos, o solicitando al proveedor de servicios que anonimice los metadatos recopilados en los casos en que no se pretenda un período de conservación más largo.

4.4.1. Principios de protección de datos desde el diseño y por defecto y proveedores de servicios de correo electrónico

En esta perspectiva, el Reglamento establece que, ya en la fase de diseño, desarrollo, selección y uso de aplicaciones, servicios y productos basados en datos personales o que los traten, los fabricantes de servicios y aplicaciones deben tener en cuenta el derecho a la protección de datos de acuerdo con el estado de la técnica.

Por consiguiente, los proveedores también deben contribuir a garantizar que los responsables del tratamiento puedan cumplir sus obligaciones en materia de protección de datos, equilibrando las necesidades de la comercialización a gran escala de sus productos con la conformidad de dichos productos con los principios del Reglamento, también con vistas a mejorar el producto ofrecido, en términos de su mayor conformidad con el Reglamento (véase el considerando 78 del Reglamento).

5. Las iniciativas que deben ponerse en marcha para garantizar el cumplimiento de la legislación sobre protección de datos y la normativa sectorial sobre mandos a distancia

A la luz de las consideraciones anteriores, y con el fin de evitar el tratamiento de datos personales que no se ajuste al marco jurídico mencionado, con la consiguiente responsabilidad administrativa y penal, los empresarios públicos y privados deben adoptar las medidas necesarias para adecuar sus tratamientos a la normativa de protección de datos y a la normativa sectorial.

En particular, es responsabilidad del responsable del tratamiento verificar que los programas y servicios informáticos de gestión del correo electrónico en uso por los empleados -especialmente en el caso de productos de mercado suministrados en modo cloud o as-a-service- permiten al cliente (empleador) cumplir con las normas de protección de datos en los términos establecidos en el presente documento orientativo, también en lo que respecta al plazo de conservación de los metadatos, tal y como se indica en el apartado 3.

Por último, cabe señalar que las indicaciones establecidas en el presente documento normativo deben considerarse válidas también en el caso de que, en el ámbito público, los programas y servicios informáticos en cuestión se adquieran a través de los acuerdos/plataformas que las administraciones públicas deben o pueden utilizar para la adquisición de bienes y servicios.

En cualquier caso, en relación con el uso de servicios basados en la nube en el sector público, se remite al informe «2022 Coordinated Enforcement Action Use of cloud-based services by the public sector» del Consejo Europeo de Protección de Datos (adoptado el 17 de enero de 2023, disponible en https://edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-use-cloud-based-services-public_en), que ofrece orientaciones sobre las medidas técnicas y organizativas necesarias para garantizar el cumplimiento del Reglamento en este contexto, garantizando, en particular, que los proveedores de servicios en la nube traten los datos personales únicamente por cuenta de sus responsables del tratamiento y sobre la base de las instrucciones recibidas de estos.

https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10026277