Conservazione delle e-mail: la vostra azienda è conforme al GDPR?

Sin dalla sua entrata in vigore, il 25 maggio 2018, il GDPR è uno degli elementi più critici per le aziende. Tuttavia con diversi fattori da dover considerare è facile che le organizzazioni tralascino alcuni aspetti. Uno di questi riguarda le e-mail: come dovrebbero essere archiviate e smaltite dalle aziende dopo l'entrata in vigore del GDPR? Le aziende devono apportare delle modifiche alle attuali policy di conservazione delle e-mail?

Di fatto, al di là degli obblighi normativi così come stabiliti dal GDPR, ci sono effettivamente molte altre ragioni per cui le aziende dovrebbero considerare di aggiornare le proprie policy di conservazione delle e-mail, come per esempio la gestione del costo dello storage e le performance generali del sistema.

In questo articolo parleremo del perché dovreste considerare di aggiornare (se ancora non lo avete fatto) le vostre policy di conservazione delle e-mail.  Vi indicheremo alcune aree che dovreste senz'altro prendere in considerazione durante la revisione dei processi attuali.

In che modo il GDPR impatta sulla conservazione delle e-mail?

Nella maggior parte dei casi, l’entrata in vigore del GDPR non ha portato con sé sorprese in merito all'elaborazione e la conservazione di tutti i tipi di dati, non solo delle e-mail.

Il GDPR è molto simile  alla maggior parte delle leggi nazionali, in particolare riguardo al fatto che le informazioni devono essere conservate solo per il tempo necessario e che dovrebbero essere adottati processi per distruggere in sicurezza i dati una volta che raggiungono la fine del proprio ciclo di vita.

Consideriamo, per esempio, il Data Protection Act del Regno Unito che è complementare al GDPR. Esso stabilisce nel principio 5 che “i dati personali elaborati a qualsivoglia scopo non devono essere conservati per un tempo superiore a quanto necessario per detto scopo.”

Non dice esattamente per quanto tempo occorre conservare i dati, ma sottolinea alcune best practice a cui le società dovrebbero aderire nella creazione di una policy per la conservazione dei dati, che dovrebbe essere applicata direttamente alle e-mail. Queste best practice includono anche la valutazione del tempo di conservazione dei dati personali, delle ragioni per cui sono utilizzati e le modalità con cui dovrebbero essere smaltiti.

Le linee guida del GDPR  sono più o meno le stesse, tuttavia le multe per la mancata conformità sono decisamente maggiori rispetto all'attuale livello nazionale. Le nuove pene finanziarie servono da deterrente ancora più forte per le società con policy e pratiche obsolete.

Archiviazione delle e-mail e conservazione dell'accesso

Uno degli aspetti chiave di qualsiasi processo di conservazione delle e-mail consiste nelle modalità di archiviazione dei dati una volta che raggiungono una certa età. Molte società stanno optando per soluzioni di cloud storage come Office 365, anche se lo storage su nastro rappresenta ancora un'alternativa prolifica nel mondo dell'archiviazione dei dati.

Grazie alla disponibilità di diverse opzioni, e al fatto che le società utilizzano spesso un mix di soluzioni storage, trovare e accedere alle e-mail archiviate può trasformarsi in un'attività di proporzioni enormi per un amministratore Exchange.

Ciò diventa particolarmente impegnativo se il backup delle e-mail è stato effettuato su vecchi supporti su nastro.

Uno dei problemi associati ai supporti su nastro è direttamente collegato al suo principale punto di forza: la sua longevità. Nonostante sia perfetto per archiviare i dati a lungo termine, esso presenta una sfida quando si tratta di mantenere l'accessibilità per lunghi periodi di tempo.

Quando si rivede una policy per la conservazione delle e-mail, le società dovrebbero considerare su quali tipi di nastro archiviano i dati e quale software di backup viene utilizzato. Capita comunemente alle organizzazioni di trovarsi in una situazione in cui il software raggiunge il fine vita, i supporti su nastro si guastano o i tape stessi vengono danneggiati, e non si ha più modo di accedere ai dati.

Come parte della procedura di revisione del data storage utilizzato per la conservazione delle e-mail, è pertanto consigliabile assicurarsi di avere reso le proprie soluzioni a prova di futuro.

Le società dovrebbero anche sapere esattamente quali dati si trovano su ogni nastro in loro possesso, il che potrebbe essere complicato in caso di utilizzo di più tipi di supporti, diversi pacchetti software di backup e in mancanza di cataloghi. Se non siete sicuri di quali dati disponete, o di dove si trovino esattamente, forse vale la pena investire del tempo per verificarlo, in modo da non trovarsi davanti un ostacolo insormontabile nel caso fosse necessario in futuro trovare, ripristinare o cancellare informazioni archiviate.

Potreste anche scoprire che, una volta identificati i dati presenti sui nastri, sarà più facile andare avanti e cancellare in sicurezza i dati obsoleti, ottenendo così, di conseguenza, grandi risparmi in termini di costi e spazio storage. Dopo tutto, le soluzioni per l'archiviazione dei dati aziendali non sono economiche!

Cancellazione delle e-mail in modo permanente

Abbiamo pubblicato un post relativo all'importanza della cancellazione dei dati per il GDPR e vi raccomandiamo caldamente di leggerlo se non l'avete ancora fatto; sono innumerevoli i motivi per cui è importante.

Una delle ragioni principali per cancellare in sicurezza i dati delle e-mail consiste nel prevenire eventuali violazioni. Le società possono accumulare enormi quantità di dati delle e-mail in un periodo di tempo molto breve, in particolare nelle organizzazioni più grandi, e questo potrebbe talvolta essere un ottimo obiettivo per gli hacker. Più dati equivalgono a un maggiore rischio, pertanto l'utilizzo di un metodo di cancellazione sicura contribuirà a mitigare il rischio di fughe di informazioni obsolete e archiviate. Esso, inoltre, farà meraviglie per i vostri dispositivi di data storage; libererà delle quantità di prezioso spazio di archiviazione che potrete destinare ad altri scopi.

Per di più, con il GDPR, le società devono effettivamente rimuovere i dati personali per ottemperare alle richieste di ‘diritto all'oblio’, come definito nell'articolo 17 del regolamento. Ciò obbliga le aziende a cancellare i dati in maniera sicura una volta raggiunta la fine del loro periodo di utilizzo o nel momento in cui il soggetto titolare ne richiederà la rimozione.

Creazione di una nuova policy per la conservazione delle e-mail

Quando si crea una nuova policy per la conservazione delle e-mail occorre che vi prendiate il tempo di pensare a tutti i punti precedentemente discussi in questo articolo, senza però perdere di vista ciò che conta di più per il vostro business. Chiunque può preparare una policy per la conservazione delle e-mail, tuttavia il vero valore per il vostro business deriverà dalla creazione di qualcosa che soddisfi i vostri requisiti e vi permetta di superare le vostre sfide.

Come esempio, riportiamo un breve riepilogo dei punti del post, che in ogni caso non è esaustivo:

• Limitare le e-mail nelle caselle di posta attive, prendendo in considerazione un breve e definito periodo di tempo. Adottare un nuovo limite per le dimensioni della mailbox.
• Archiviare le e-mail più vecchie rispetto al periodo selezionato. Assicurarsi comunque che sia semplice effettuare una ricerca e accedervi. Definire un ulteriore periodo di tempo oltre il quale quei dati archiviati sono considerati obsoleti.
• Cancellare in sicurezza qualsiasi e-mail più vecchia rispetto a questo ulteriore periodo di tempo, utilizzando uno strumento certificato e verificabile, in modo da poter provare l'avvenuta esecuzione del processo.
• Assicurarsi che gli utenti siano aggiornati in merito alle policy e che le abbiano comprese pienamente.
• Rivedere continuamente le policy e testare il vostro accesso ai dati archiviati.

La vostra azienda dovrebbe rivedere con frequenza le proprie policy per garantire che siano aggiornate non solo in termini di normativa, ma anche in termini di tecnologia, facilità di accesso e per qualsiasi modifica nei requisiti di business finalizzati all'elaborazione dei dati.

Per quanto concerne il GDPR, non viene espressamente indicato per quanto tempo le società devono conservare le e-mail, pertanto spetta alle organizzazioni creare le proprie policy e dimostrare che è stata, di conseguenza, implementata una metodologia.

Affrontare le aree chiave della conservazione delle e-mail, incluse quelle citate in questo post, servirà alle organizzazioni come punto di partenza per mostrare agli enti normativi (e potenzialmente ai clienti) che stanno proseguendo sulla strada giusta in relazione alla conservazione delle e-mail e dei dati personali.