Find results in Italiano
Please search something!
Garante Privacy: nuove tutele per le email dei dipendenti

Garante Privacy: nuove tutele per le email dei dipendenti

In merito al provvedimento del Garante della Privacy riguardante i tempi di conservazione dei metadati delle email dei dipendenti, ACS desidera fare chiarezza con i propri clienti sui comportamenti da adottare. Scendere, in questa pagina, per leggere la comunicazione completa.
Group 29 Copy 2Created with Sketch.
Group 29 Copy 2Created with Sketch.
ACS 30/8/2023
Corporate News
Garante Privacy: nuove tutele per le email dei dipendenti

30/08/2024 Comunicazione ai clienti di ACS Data Systems Spa

Adeguamento al provvedimento n. 364 del 6 giugno 2024 emesso dal Garante per la protezione dei dati personali in tema di conservazione dei metadati di log di posta elettronica.

Gentile Cliente, il provvedimento n. 364 del 6 giugno 2024 emesso dal Garante per la protezione dei dati personali, prevede che il periodo di conservazione dei metadati dei log di posta elettronica non dovrebbe superare i 21 giorni (art. 3 del Provvedimento).

Per “metadati dei log di posta elettronica”, non si intende il contenuto dei messaggi di posta bensì le informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi; si tratta quindi delle informazioni che sono registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent).

Sono tenuti al rispetto di questo provvedimento sia i titolari del trattamento dei dati sia i fornitori, i quali devono contribuire a far sì che i titolari del trattamento possano adempiere ai loro obblighi di protezione dei dati.

ACS Data Systems Spa fornisce ai propri clienti il prodotto Microsoft Office 365 il quale prevede un periodo di conservazione dei dati di 90 giorni, senza possibilità per l’utente di disattivare né modificare questa impostazione predefinita.

Considerato quanto sopra, la Società scrivente si è fatta parte attiva invitando formalmente Microsoft ad indicare quali misure intende adottare per adempiere all’obbligo indicato nel provvedimento del Garante. Microsoft, in risposta, ha dichiarato che sta provvedendo a sviluppare “un livello di documentazione appropriato a gestire i processi interni di conformità da parte dei clienti ed a realizzare soluzioni che implementino misure tecniche e organizzative adeguate”.

Si significa infine che ACS Data Systems Spa ha provveduto ad adeguare al provvedimento in citato, i parametri del servizio denominato “ACS.Managed E-mail Security” prevedendo la durata di 21 giorni per il periodo di conservazione dei metadati dei log di posta elettronica.

06/06/2024 - Aggiornamento

Con comunicato reperibile al seguente indirizzo Provvedimento del 6 giugno 2024 - Documento di indirizzo. Programmi e... - Garante Privacy, il Garante privacy ha deliberato di adottare una versione aggiornata del Documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (all. n. 1), che forma parte integrante del presente provvedimento.

28/02/2024 - Aggiornamento

Con comunicato stampa del 27/02/2024, reperibile al seguente indirizzo E-mail dei dipendenti, il Garante privacy avvia una consultazione pubblica - Garante Privacy, il Garante privacy ha pubblicato un recente provvedimento del 22/02/2024, reperibile al seguente indirizzo Provvedimento del 22 febbraio 2024 [9987885] - Garante Privacy

23/02/2024 - Garante per la protezione dei dati personali - Provvedimento nr. 642 del 21 dicembre 2023: “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (Nuove tutele per le e-mail dei dipendenti)

Con una newsletter del 6 febbraio 2024 il Garante per la protezione dei dati personali (Garante Privacy) ha reso pubblico un provvedimento, adottato a fine dicembre, dove si è espresso in particolare sui tempi di conservazione dei metadati degli account di posta elettronica.

Tale provvedimento è fruibile direttamente dal sito internet del Garante Privacy, al seguente indirizzo: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9978728

È importante sapere che in ambito informatico i metadati sono le informazioni, aggiuntive, di cui è dotato un documento digitale (e-mail, documento di testo, foto, etc..) per poterlo correttamente gestire e conservare, nel tempo. Un esempio di metadati riferibili alle e-mail è:

  • il mittente
  • il destinatario
  • l’ora e la data di invio e ricezione
  • l’oggetto
  • la dimensione
  • la presenza di allegati
  • l’indirizzo IP del server mittente della mail
  • etc...

Non è da considerarsi, invece, nella categoria “metadati”:

  • il testo contenuto nella e-mail stessa;
  • gli eventuali allegati;

perché questi rientrano, a tutti gli effetti, nella categoria “dati”.

Quindi, sinteticamente:

  • con riferimento alle e-mail i metadati sono informazioni aggiunte al contenuto della e-mail stessa;
  • i metadati vengono generati automaticamente dallo specifico servizio o programma di gestione delle e-mail (come, per esempio, la componente Exchange Online di Microsoft 365);
  • il trattamento e il periodo di conservazione dei metadati dipendono da come è configurato lo specifico servizio o programma di gestione delle e-mail.

In un’ottica di Cybersecurity è bene sapere che i metadati sono anche una parte essenziale nell’analisi di un incidente informatico di sicurezza: informazioni fondamentali per eseguire quelle operazioni necessarie a comprendere la natura e la modalità di esecuzione di un incidente. Il tempo di conservazione di questi metadati consente, essenzialmente, di “tornare indietro nel tempo” così da poter recuperare tali informazioni, che spesso sono anche necessarie nelle valutazioni in ambito forense, soprattutto per identificare data breach e crimini informatici.

In questo particolare contesto il supporto che ACS può fornire ai propri clienti è:

  • rispondere per le eventuali richieste di verifica sul tempo di conservazione dei metadati attualmente impostato sui sistemi di posta;
  • impostare, dove possibile, un diverso criterio di conservazione, su indicazione specifica del cliente che ne ravvede una necessità.

ACS Data Systems SPA suggerisce ai propri clienti di rivolgersi a professionisti o consulenti specializzati per questioni specifiche riguardanti la protezione dei dati personali. È importante che i clienti ricevano consulenza adeguata da esperti in materia di privacy e GDPR per garantire la conformità alle leggi e la protezione dei dati dei loro utenti.

ACS desidera inoltre avvisare che per alcuni contesti i tempi di conservazione dei metadati per i sistemi di posta sono pre-determinati dai vari produttori (come, per esempio, Microsoft) e che potrebbe essere tecnicamente inattuabile anche per ACS stessa apportare delle variazioni. Per queste casistiche si dovranno attendere degli aggiornamenti da parte dei produttori stessi.

Se desidera richiedere un intervento tecnico può contattare il nostro Service Desk tramite i consueti canali per l'assistenza (e-mail: support@acs.it; portale: https://my.acs.it/; customer center: 0471 063 063).

Ulteriori aggiornamenti riguardanti questa comunicazione saranno qui aggiunte.

La tua area cliente dedicata

MY ACS