Posta elettronica aziendale: le ultime linee guida del Garante
Le ultime linee guida del Garante per la protezione dei dati personali impongono alle aziende controlli maggiori.
Analizziamo insieme al meglio quali sono e che cosa prevedono!
Posta elettronica aziendale: le nuove disposizioni
- adozione di un nuovo documento di indirizzo. Si tratta di “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”;
- verifica che i programmi di posta elettronica in gestione permettano la modifica delle impostazioni di base;
- divieto di raccolta dei metadati o limite del periodo di conservazione a un massimo di 7 giorni, eventualmente estensibili su richiesta di ancora 48 ore.
- registro del trattamento del dato: aggiornamento in relazione alle nuove tempistiche di conservazione del dato;
- informativa privacy: aggiornamento con indicazione del periodo di conservazione dei metadati e successiva condivisione con i lavoratori;
- aggiornamento della privacy policy aziendale, elaborazione di una valutazione di impatto e di misure di gestione sicura del dato.
Motivazioni dietro la scelta del Garante
- alcuni programmi e servizi informatici per la gestione della posta elettronica sono configurati in modo da raccogliere e conservare alcuni metadati;
- questi ultimi sono relativi all’utilizzo degli account di posta elettronica dei dipendenti;
- i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati nè ridurre il periodo di conservazione;
- è presente la possibilità di un controllo da remoto indiretto mediante videosorveglianza dell’attività del lavoratore.
Nozioni utili alla comprensione del provvedimento
Per comprendere al meglio il provvedimento emesso dal Garante a riguardo della posta elettronica aziendale è necessario analizzare il significato dei metadati. Si tratta di stringhe descrittive che indicano informazioni relative alle sole caratteristiche dell’e-mail. E quindi: giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail. Contenuti ed allegati, invece, ne sono esclusi.
L’utilizzo dei metadati è fondamentale in quanto permette di accedere a informazioni utili per l’individuazione della causa da cui è scaturito un data breach.
Inoltre, per impostare la regola di conservazione da applicare ai metadati dei messaggi di posta elettronica, si devono considerare tempistiche quali:
- poche ore o alcuni giorni e, in ogni caso, non oltre 7 giorni, in assenza di comprovate e documentate esigenze;
- 9 giorni, in presenza di comprovate esigenze;
- più ore, ove concesse dalle rappresentanze sindacali, qualora il datore di lavoro reputi il termine massimo insufficiente e inadeguato alle esigenze.
Allo scadere di tale termine si potrà in automatico procedere all’eliminazione di detti metadati. Tale attività comporta inoltre l’aggiornamento della procedura legata alla conservazione dei dati personali, adottata da ogni singola azienda.
Come abbiamo visto insieme, il provvedimento emesso dal Garante per la protezione dei dati personali porta con sé adempimenti onerosi per le organizzazioni.
Posta elettronica aziendale: i pericoli attuali
- ruba i dati sensibili e le credenziali dell’utente;
- innesca l’installazione di virus e malware;
- compromette la sicurezza dei sistemi informatici aziendali