Posta elettronica aziendale - adempimento richiesti dal Garante

Posta elettronica aziendale: le ultime linee guida del Garante

Le ultime linee guida del Garante per la protezione dei dati personali impongono alle aziende controlli maggiori.

Analizziamo insieme al meglio quali sono e che cosa prevedono!

Indice
Master in DPO
Specializzati nella protezione dei dati
Scopri di più

Posta elettronica aziendale: le nuove disposizioni

La gestione della posta elettronica aziendale è sempre stata un argomento di primaria importanza. Le ultime guide del Garante introducono alcune novità in prevenzione e tutela al fine di evitare trattamenti illeciti.
 
Da oggi, i datori di lavoro che per la gestione della posta elettronica utilizzano programmi forniti anche in modalità cloud, avranno a disposizione nuove indicazioni. L’intervento, che ha un notevole impatto sulla gestione privacy aziendale, prevede:
  • adozione di un nuovo documento di indirizzo. Si tratta di “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”;
  • verifica che i programmi di posta elettronica in gestione permettano la modifica delle impostazioni di base;
  • divieto di raccolta dei metadati o limite del periodo di conservazione a un massimo di 7 giorni, eventualmente estensibili su richiesta di ancora 48 ore.
Come è evidente, il provvedimento prevede la necessità di rivedere le impostazioni di gestione dei dati aziendali. Di conseguenza, dal punto di vista operativo il datore di lavoro dovrà intervenire in relazione ai seguenti passaggi privacy:
 
  • registro del trattamento del dato: aggiornamento in relazione alle nuove tempistiche di conservazione del dato;
  • informativa privacy: aggiornamento con indicazione del periodo di conservazione dei metadati e successiva condivisione con i lavoratori;
  • aggiornamento della privacy policy aziendale, elaborazione di una valutazione di impatto e di misure di gestione sicura del dato.

Motivazioni dietro la scelta del Garante

Le motivazioni dietro la scelta del Garante deriva da alcuni fattori sommati insieme:
  • alcuni programmi e servizi informatici per la gestione della posta elettronica sono configurati in modo da raccogliere e conservare alcuni metadati;
  • questi ultimi sono relativi all’utilizzo degli account di posta elettronica dei dipendenti;
  • i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati nè ridurre il periodo di conservazione;
  • è presente la possibilità di un controllo da remoto indiretto mediante videosorveglianza dell’attività del lavoratore.
Di certo, è possibile che ii datori di lavoro per esigenze di vario genere abbiano la necessità di trattare i metadati per un periodo di tempo più esteso. Ma da oggi, tramite il provvedimento sulla Posta elettronica aziendale, per farlo dovranno espletare le procedure di garanzia previste dallo Statuto dei lavoratori.
 
La finalità del provvedimento è quindi l’individuazione di best practice al fine di evitare trattamenti illeciti. In assenza di un’idonea base giuridica potrebbe inoltre non solo configurarsi un controllo indiretto, a distanza, del lavoratore. Esiste infatti anche il rischio di una raccolta sistematica, preventiva e generalizzata di metadati, relativi agli account affidati ai dipendenti. Il Provvedimento interessa sia la fase di raccolta che della conservazione dei metadati.

Nozioni utili alla comprensione del provvedimento

Per comprendere al meglio il provvedimento emesso dal Garante a riguardo della posta elettronica aziendale è necessario analizzare il significato dei metadati. Si tratta di stringhe descrittive che indicano informazioni relative alle sole caratteristiche dell’e-mail. E quindi: giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail. Contenuti ed allegati, invece, ne sono esclusi.

L’utilizzo dei metadati è fondamentale in quanto permette di accedere a informazioni utili per l’individuazione della causa da cui è scaturito un data breach.

Inoltre, per impostare la regola di conservazione da applicare ai metadati dei messaggi di posta elettronica, si devono considerare tempistiche quali:

  • poche ore o alcuni giorni e, in ogni caso, non oltre 7 giorni, in assenza di comprovate e documentate esigenze;
  • 9 giorni, in presenza di comprovate esigenze;
  • più ore, ove concesse dalle rappresentanze sindacali, qualora il datore di lavoro reputi il termine massimo insufficiente e inadeguato alle esigenze.

Allo scadere di tale termine si potrà in automatico procedere all’eliminazione di detti metadati. Tale attività comporta inoltre l’aggiornamento della procedura legata alla conservazione dei dati personali, adottata da ogni singola azienda.

Come abbiamo visto insieme, il provvedimento emesso dal Garante per la protezione dei dati personali porta con sé adempimenti onerosi per le organizzazioni.

Posta elettronica aziendale: i pericoli attuali

Ad oggi la posta elettronica aziendale rischia di incorrere in hackeraggi effettuati con lo scopo di ottenere e rubare credenziali. Il nuovo pericolo, è già stato identificato in almeno 1.000 episodi in tutto il mondo in sole due settimane. 
 
Nello specifico, stiamo parlando della truffa effettuata nella posta elettronica. Finti messaggi vocali contenuti come allegati nelle mail aziendali mettono a rischio i dati sensibili.
 
Quella che all’apparenza sembra essere una registrazione di un messaggio vocale, è invece un collegamento ipertestuale a una pagina dannosa. La mail inizia con una riga in cui viene scritto l’oggetto che contiene un numero telefonico. Se lo si cerca su Google si scopre che è un fake che non appartiene a nessuno. Il mittente è una parodia di un servizio che elabora pagamenti. La mail sembra avere come allegato un file Mp3 ma quando si fa click su di esso si viene reindirizzati a una pagina web che:
  • ruba i dati sensibili e le credenziali dell’utente;
  • innesca l’installazione di virus e malware;
  • compromette la sicurezza dei sistemi informatici aziendali
Agendo in questo modo i malintenzionati cercano di convincere gli utenti a cliccare sui vari allegati e scatenare la truffa. Per questo motivo, e per la rapidità della sua diffusione, è ad oggi allarme rosso per la protezione della sicurezza delle informazioni aziendali.
 
 
Scopri altri corsi di laurea
Laurea in Giurisprudenza
Scopri i nostri corsi di laurea riconosciuto MIUR
Scopri di più
Laurea in Ingegneria
Prendi una laurea online in Ingegneria
Scopri di più
Condividi su
Facebook
LinkedIn
Email
WhatsApp
Scritto da
Picture of Sara Elia
Sara Elia
Copywriter, content creator & SEO specialist freelance. Turin based, London lover.
Categorie
Categorie
Iscriviti alla newsletter

Ricevi i nostri migliori articoli, contenuti gratuiti, offerte riservate e tanto altro!

google news

Ricevi le nostre notizie da Google News

Seguici