Con l'entrata in vigore del GDPR appena qualche giorno fa, per molte aziende è arrivato il momento che i processi IT e le soluzioni in uso siano conformi al nuovo regolamento. Chiunque lavori in un'azienda con sede nell'UE o che abbia un rapporto di affari con aziende europee dovrebbe aver già sentito parlare delle ingenti sanzioni che possono arrivare fino al 4% del fatturato mondiale o a 20 milioni di euro. Molti degli articoli contenuti nel regolamento sono già stati spiegati non solo nel nostro blog, ma anche in molti altri presenti in Internet, sia da avvocati che da giornalisti di portali e riviste IT ben noti.Più si va a fondo in relazione all'argomento e alle sue implicazioni sui processi e le soluzioni IT della propria azienda, più si arriva a un certo punto in cui si realizza che enormi quantità di dati personali vengono trasferite e archiviate in e-mail e backup di e-mail. Se lavorate in un'azienda in cui le soluzioni IT sono altamente integrate e ben collegate, allora sarà abbastanza semplice trovare tutte le informazioni personali di un individuo che desidera che i suoi dati siano cancellati ai sensi dell'articolo 17 del GDPR.
Potete considerarvi fortunati quando viene utilizzata una tale soluzione integrata che copre molte aree applicative, come per esempio CRM, CMS e anche le e-mail, e la soluzione crea anche dei backup della posta elettronica. Con una soluzione del genere potete trovare tutte le e-mail con le informazioni personali degli individui da cancellare in sicurezza, sia sul live server che nei backup.
Tuttavia, in realtà molte aziende utilizzano soluzioni differenti per attività diverse. Una soluzione crea i backup, le e-mail sono archiviate e gestite da un MS Exchange server o da una soluzione di un vendor differente oppure il produttore di un sistema CRM è diverso dall'Enterprise CMS integrato, che raccoglie e processa anche i dati personali. Ed è qui che cominciano le difficoltà.
In relazione ai backup delle e-mail c'è anche un'altra sfida da affrontare: quando cercate di trovare e cancellare in sicurezza i dati personali, c'è un'enorme differenza se le e-mail sono ancora archiviate sul server Exchange oppure se è già stato fatto il backup con archiviazione su una soluzione basata su nastro o disco.
In molte aziende piccole o medie, le comuni soluzioni IT non sono così sofisticate. Per le e-mail usano normalmente il server Exchange e i relativi client locali, come outlook sui computer desktop dei dipendenti. La ricerca delle vecchie e-mail con informazioni personali può essere effettuata in MS Exchange. Queste e-mail possono essere identificate, spostate in uno spazio storage speciale e quindi cancellate in sicurezza tramite specifici software di cancellazione sicura.
Inoltre potete utilizzare Ontrack PowerControls per Exchange per trovare e-mail che contengono dati personali individuali, affinché tali dati siano cancellati da un live server. Ontrack PowerControls è un modo semplice per controllare rapidamente queste e-mail grazie al visualizzatore integrato. Tuttavia, non è possibile cancellare davvero in sicurezza queste e-mail in tempo reale. Quando utilizzate questo strumento, spostate semplicemente le e-mail nel cestino del server Exchange. Quindi la cancellazione conclusiva delle e-mail dipenderà dal tempo di conservazione impostato in Exchange. Eppure non si tratta ancora di una cancellazione definitiva: sarà possibile recuperare le e-mail fino a che il particolare spazio storage in cui sono archiviate non sarà infine sovrascritto da nuovi dati.
Trovare e cancellare tali e-mail sul computer dei dipendenti può anche essere un'operazione abbastanza semplice. Una volta identificate, possono essere spostate in una determinata posizione di archiviazione e quindi cancellate in sicurezza da una soluzione di cancellazione dei dati specializzata. Questa operazione può essere effettuata sia sul computer client oppure tramite una connessione di rete dall'amministratore IT. Entrambi i processi funzionano solo per quelle e-mail che sono attive sul computer client e/o sul server di posta exchange.
Cosa accade alle e-mail con dati personali per cui è già stato effettuato il backup da parte dell'amministratore o dell'utente?
In breve: dal punto di vista tecnico è possibile trovare e cancellare in sicurezza le e-mail che sono ancora live o accessibili sul server! Le e-mail incluse nei backup rappresenteranno una minaccia alla conformità al GDPR, senza una semplice soluzione al momento!
Le e-mail nei backup possono solo essere trovate, recuperate ed estratte. Tuttavia, quando cancellate in sicurezza le e-mail e le informazioni personali da una casella di posta per cui è stato effettuato il backup, potete salvare soltanto le restanti e-mail come un backup totalmente nuovo, in particolare se il backup è salvato su nastro. Dato che queste caselle di posta contengono così tante e-mail, ci sono molto probabilmente delle e-mail nella mailbox che è necessario conservare per molti anni o decenni in ragione di altre leggi, diverse dal GDPR. In caso di modifica del backup, cancellereste normalmente anche l'indicatore temporale di queste e-mail. L'effetto è che "modifichereste" anche queste e-mail, anche se il contenuto sarebbe identico.
Conclusione
Essere preparati per il GDPR in relazione alle e-mail e al loro backup è un'attività piuttosto complessa.
Ora dovrebbe essere arrivato il momento per le aziende di implementare una soluzione altamente integrata, come per esempio un sistema di archiviazione delle e-mail, che sia in grado di elaborare, archiviare ed effettuare il backup di tutti i dati. Inoltre, quando richiesto, è necessario che questa soluzione sia in grado anche di cancellarle in maniera sicura. L'utilizzo di un processo di archiviazione specializzato potrebbe essere il modo migliore per rispettare in futuro la conformità con il GDPR. Una soluzione più avanzata che combina strumenti di elaborazione e una gestione del business più moderna come CRM, enterprise CMS e molto altro, è la soluzione migliore per proteggersi da ingenti sanzioni.