Go to Top

In che modo il GDPR avrà un impatto sulla conservazione delle e-mail?

GDPR e conservazione email

Con il rapido avvicinarsi del 25 maggio 2018, le aziende hanno molto a cui pensare in relazione a come mantenere la compliance con la futura legislazione GDPR. Ci sono molti elementi da prendere in considerazione, tuttavia un’area comunemente tralasciata riguarda le e-mail; come dovrebbero essere archiviate e smaltite dalle aziende dopo l’entrata in vigore del GDPR? Le aziende dovranno apportare delle modifiche alle attuali policy di conservazione delle e-mail?Di fatto, al di là degli obblighi normativi così come stabiliti dal GDPR, ci sono effettivamente molte altre ragioni per cui le aziende dovrebbero considerare di aggiornare le proprie policy di conservazione delle e-mail, come per esempio la gestione del costo dello storage e le performance generali del sistema.

In questo articolo parleremo del perché dovreste considerare di aggiornare le vostre policy di conservazione delle e-mail e inoltre vi indicheremo alcune aree che dovreste senz’altro prendere in considerazione durante la revisione dei processi attuali.

In che modo il GDPR avrà un impatto sulla conservazione delle e-mail?

Nella maggior parte dei casi, quando il GDPR sarà introdotto non ci saranno sorprese al momento dell’elaborazione e della conservazione di tutti i tipi di dati, non solo delle e-mail. Infatti, è probabile che la maggior parte delle leggi nazionali si riveli molto simile alle disposizioni del GDPR; in particolare riguardo al fatto che le informazioni devono essere archiviate solo per il tempo necessario e che sono state intraprese delle azioni per distruggere in sicurezza i dati una volta che raggiungono la fine della propria vita.

Consideriamo, per esempio, l’attuale Data Protection Act del Regno Unito. Esso stabilisce nel principio 5 che “i dati personali elaborati a qualsivoglia scopo non devono essere conservati per un tempo superiore a quanto necessario per detto scopo.”

Non dice esattamente per quanto tempo occorre conservare i dati, ma sottolinea alcune best practice cui le società dovrebbero aderire nella creazione di una policy per la conservazione dei dati, che dovrebbe essere applicata direttamente alle e-mail. Queste best practice includono anche la valutazione del tempo di conservazione dei dati personali, delle ragioni per cui sono utilizzati e le modalità con cui dovrebbero essere smaltiti.

Con il GDPR, possiamo prevedere che le linee guida saranno più o meno le stesse, tuttavia le multe per la mancata conformità saranno decisamente maggiori rispetto all’attuale livello nazionale. Nonostante molti Paesi non abbiano sanzionato le organizzazioni con le massime multe previste finora ai sensi delle legislazioni vigenti, le nuove pene finanziarie dovrebbero servire da deterrente ancora più forte per le società con policy e pratiche obsolete.

Archiviazione delle e-mail e conservazione dell’accesso

Uno degli aspetti chiave di qualsiasi processo di conservazione delle e-mail consiste nelle modalità di archiviazione dei dati una volta che raggiungono una certa età. Molte società stanno optando per soluzioni di cloud storage come Office 365, anche se lo storage su nastro rappresenta ancora un’alternativa prolifica nel mondo dell’archiviazione dei dati.

Grazie alla disponibilità di diverse opzioni, e al fatto che le società utilizzano spesso un mix di soluzioni storage, trovare e accedere alle e-mail archiviate può trasformarsi in un’attività di proporzioni enormi per un amministratore Exchange.

Ciò diventa particolarmente impegnativo se il backup delle e-mail è stato effettuato su vecchi supporti su nastro.

Uno dei problemi associati ai supporti su nastro è direttamente collegato al suo principale punto di forza: la sua longevità. Nonostante sia perfetto per archiviare i dati a lungo termine, esso presenta una sfida quando si tratta di mantenere l’accessibilità per lunghi periodi di tempo.

Quando si rivede una policy per la conservazione delle e-mail, le società dovrebbero considerare su quali tipi di nastro archiviano i dati e quale software di backup viene utilizzato. Capita comunemente alle organizzazioni di trovarsi in una situazione in cui il software raggiunge il fine vita, i supporti su nastro si guastano o i nastri stessi vengono danneggiati, e non si ha più modo di accedere ai dati.

Come parte della procedura di revisione del data storage utilizzato per la conservazione delle e-mail, è pertanto consigliabile assicurarsi di avere reso le proprie soluzioni a prova di futuro .

Le società dovrebbero anche sapere esattamente quali dati si trovano su ogni nastro in loro possesso, il che potrebbe essere complicato in caso di utilizzo di più tipi di supporti, diversi pacchetti software di backup e in mancanza di cataloghi. Se non siete sicuri di quali dati disponete, o di dove si trovino esattamente, forse vale la pena investire del tempo per verificarlo, in modo da non trovarsi davanti un ostacolo insormontabile nel caso fosse necessario in futuro trovare, ripristinare o cancellare informazioni archiviate.

Potreste anche scoprire che, una volta identificati i dati presenti sui nastri, sarà più facile andare avanti e cancellare in sicurezza i dati obsoleti, ottenendo così, di conseguenza, grandi risparmi in termini di costi e spazio storage. Dopo tutto, le soluzioni per l’archiviazione dei dati aziendali non sono economiche!

Cancellazione delle e-mail in modo permanente

Abbiamo recentemente pubblicato un post relativo all‘importanza della cancellazione dei dati per il GDPR e vi raccomandiamo caldamente di leggerlo se non l’avete ancora fatto; sono innumerevoli i motivi per cui è importante.

Una delle ragioni principali per cancellare in sicurezza i dati delle e-mail consiste nel prevenire eventuali violazioni. Le società possono accumulare enormi quantità di dati delle e-mail in un periodo di tempo molto breve, in particolare nelle organizzazioni più grandi, e questo potrebbe talvolta essere un ottimo obiettivo per gli hacker. Più dati equivalgono a un maggiore rischio, pertanto l’utilizzo di un metodo di cancellazione sicura contribuirà a mitigare il rischio di fughe di informazioni obsolete e archiviate. Esso, inoltre, farà meraviglie per i vostri dispositivi di data storage; libererà delle quantità di prezioso spazio di archiviazione che potrete destinare ad altri scopi.

Per di più, con il GDPR, le società dovranno effettivamente rimuovere i dati personali per ottemperare alle richieste di ‘diritto all’oblio’, come definito nell’articolo 17 del regolamento. Ciò obbligherà le aziende a cancellare i dati in maniera sicura una volta raggiunta la fine del loro periodo di utilizzo o nel momento in cui il soggetto titolare ne richiederà la rimozione. Se la vostra organizzazione non ha implementato un metodo certificato e verificabile, è giunto il momento di cominciare a pensare alle opzioni disponibili e implementarle come parte della vostra nuova policy di conservazione.

Creazione di una nuova policy per la conservazione delle e-mail

Quando si crea una nuova policy per la conservazione delle e-mail occorre che vi prendiate il tempo di pensare a tutti i punti precedentemente discussi in questo articolo, senza però perdere di vista ciò che conta di più per il vostro business. Chiunque può preparare una policy per la conservazione delle e-mail, tuttavia il vero valore per il vostro business deriverà dalla creazione di qualcosa che soddisfi i vostri requisiti e vi permetta di superare le vostre sfide.

Come esempio, riportiamo un breve riepilogo dei punti del post, che in ogni caso non è esaustivo:

  • Limitare le e-mail nelle caselle di posta attive, prendendo in considerazione un breve e definito periodo di tempo. Adottare un nuovo limite per le dimensioni della mailbox.
  • Archiviare le e-mail più vecchie rispetto al periodo selezionato. Assicurarsi comunque che sia semplice effettuare una ricerca e accedervi. Definire un ulteriore periodo di tempo oltre il quale quei dati archiviati sono considerati obsoleti.
  • Cancellare in sicurezza qualsiasi e-mail più vecchia rispetto a questo ulteriore periodo di tempo, utilizzando uno strumento certificato e verificabile, in modo da poter provare l’avvenuta esecuzione del processo.
  • Assicurarsi che gli utenti siano aggiornati in merito alle policy e che le abbiano comprese pienamente.
  • Rivedere continuamente le policy e testare il vostro accesso ai dati archiviati.

Un altro aspetto da ricordare è che non dovrebbe davvero essere necessario avere qualcosa come il GDPR per implementare una nuova policy di conservazione delle e-mail: la vostra azienda dovrebbe rivederle con frequenza per garantire che siano aggiornate non solo in termini di normativa, ma anche in termini di tecnologia, facilità di accesso e per qualsiasi modifica nei requisiti di business finalizzati all’elaborazione dei dati.

Per quanto concerne il GDPR, non viene espressamente indicato per quanto tempo le società devono conservare le e-mail, pertanto spetta alle organizzazioni creare le proprie policy e dimostrare che è stata, di conseguenza, implementata una metodologia.

Affrontare le aree chiave della conservazione delle e-mail, incluse quelle citate in questo post, servirà alle organizzazioni come punto di partenza per mostrare agli enti normativi (e potenzialmente ai clienti) che stanno proseguendo sulla strada giusta in relazione alla conservazione delle e-mail e dei dati personali.

Cosa ha fatto la vostra azienda per affrontare questo argomento in previsione dell’introduzione del GDPR?

Picture copyright: qimono/pixabay.com

CC0 license

https://pixabay.com/en/club-auction-law-symbol-judge-2492011/

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *