Avvio di consultazione pubblica
Vi invitiamo a leggere quanto segue e a procedere alle analisi preliminari indicate nella seconda parte del testo.
Come già comunicato nella precedente news, il 6 febbraio 2024 il Garante Privacy aveva reso pubbliche le linee guida di indirizzo sui tempi massimi di conservazione dei metadati relativi alla posta elettronica dei dipendenti, tempi estremamente ridotti salvo accordo con le rappresentanze sindacali o salvo ottenere l’autorizzazione dell’ispettorato del lavoro.
Il 27.02.24 con un nuovo provvedimento il Garante Privacy ha rinviato l’entrata in vigore di tali linee guida ed ha avviato una consultazione pubblica sulla congruità del termine di conservazione dei metadati. La consultazione ha come scopo l’acquisizione di pareri di esperti ed operatori, vi potranno partecipare i datori di lavoro pubblici e privati, le associazioni di categoria degli imprenditori e gli esperti di protezione dei dati.
La durata della consultazione è fissata in 30 giorni a partire dalla pubblicazione sulla Gazzetta Ufficiale di questo secondo provvedimento. L’entrata in vigore delle linee guida è posticipata di 60 giorni dalla data di chiusura della consultazione, questo vuole dire che per un periodo massimo di 90 giorni i datori di lavoro e gli operatori che forniscono il servizio di posta elettronica in cloud oppure on premise non dovranno apportare modifiche alle attuali politica di data retention dei metadati.
L’avvio della consultazione ed il rinvio dell’applicazione delle linee guida sono sicuramente misure di buon senso ma non risolutive del problema. L’adempimento è solo spostato nel tempo.
- Servizio di posta elettronica Saas:
- Verificare l’attuale impostazione del tempo di conservazione dei metadati;
- Quali sono scopi dell’utilizzo dei Metadati;
- Verificare il dettaglio dei metadati salvati dal servizio;
- Verificare che cosa comporta lato utente, lato amministratore e lato sicurezza una riduzione del tempo di conservazione dei metadati;
- Verificare la disponibilità del provider di posta di adeguarsi ai nuovi termini previsti dal Garante. Alcuni provider di posta elettronica che erogano servizi saas in questo periodo stanno rispondendo che non apporteranno modifiche perché tale adeguamento è richiesto solo dal Garante italiano. Ogni cliente deve essere consapevole dello strumento che sta utilizzando.
- Le predette informazioni possono essere richieste al provider di posta elettronica tramite ticket. La risposta deve essere conservata e sarà necessaria per essere pronti all’ entrata in vigore delle linee di indirizzo.
- Servizio di posta elettronica on premise
- Verificare l’attuale impostazione del tempo di conservazione dei metadati e se il servizio di posta elettronica permette di apportare modifiche
- Verificare il dettaglio dei metadati conservati dal sistema di posta elettronica (ogni sistema ha una propria raccolta dati), cercando di suddividerli tra quelli essenziali e quelli non essenziali. Relativamente a quelli non essenziali verificare la possibilità di eliminarli senza compromettere la funzionalità. Per aiutarvi prendiamo come spunto quando ci è stato comunicato dal servizio di Exchange:
- metadati essenziali Identificativo messaggio – Data e ora di invio/ricezione – Mittente e destinatario – Oggetto – Dimensione del messaggio – Stato del messaggio: Lo stato del messaggio, ad esempio “Inviato”, “Consegnato”, “Letto”.
- metadati non essenziali: mittenti e destinatari esterni all’azienda – dimensione del messaggio, informazioni su dispositivo e client di posta, allegati ecc…
- Verificare che cosa comporta lato utente, lato amministratore e lato sicurezza una riduzione del tempo di conservazione dei metadati.
- Verificare la possibilità di modificare l’attuale tempo di conservazione adeguandolo ai nuovi termini previsti dal Garante.
- Le predette informazioni devono essere verificate dal Responsabile dei sistemi informativi oppure con la società che vi gestisce la posta elettronica. La risposta deve essere conservata e sarà necessaria per essere pronti all’entrata in vigore delle linee di indirizzo.
Siamo in costante contatto con Confindustria. Per non farvi trovare impreparati ed essere costretti a dovere procedere con l’applicazione delle linee di indirizzo solo al momento della scadenza, come consulenti GDPR invitiamo ad effettuare nei prossimi giorni le verifiche elencate nei punti precedenti e di contattarci, se volete, per una consulenza sulla questione.
Si tratta di un’azione preliminare. Nessuna azione deve essere attualmente intrapresa.
Condividi