Provvedimento del Garante privacy: E-mail e metadati in Microsoft 365
Una questione fondamentale riguarda l’utilizzo di piattaforme di produttività aziendale, come Microsoft 365, che gestiscono una vasta quantità di dati sensibili, tra cui email, tracce dei messaggi e log di accesso. Sebbene queste piattaforme offrano numerosi vantaggi in termini di collaborazione ed efficienza lavorativa, è essenziale comprendere le politiche di conservazione dei dati adottate da tali servizi e il loro impatto sulla privacy dei dipendenti.
A tal proposito, il Garante della Privacy ha emanato un regolamento e una nota, descritti in dettaglio in questo articolo e aggiornati a giugno 2024 in questo documento.
Le aziende devono definire chiaramente gli scopi per cui vengono conservati i dati e stabilire tempistiche congrue per la loro gestione. È inoltre necessario informare i lavoratori di queste politiche, ottenendo il loro consenso attraverso accordi sindacali o l’accettazione esplicita delle linee guida per il trattamento dei dati personali.
I metadati in Microsoft 365: Email
Dal 2014, Microsoft ha iniziato a implementare politiche più rigorose per la conservazione dei dati. Da quel momento è stato possibile regolare l’accesso alla consultazione dei dati, ma non è stato possibile modificare i tempi di custodia.
Nonostante sia possibile accedere ai tracciati delle email (senza contenuto o allegati) per un periodo massimo di 90 giorni, è necessario ottenere permessi specifici e utilizzare metodologie diverse per la loro consultazione. Questo link illustra dettagliatamente le logiche di Exchange Online.
In un ambiente condiviso di Software as a Service (SaaS), dove le caselle di posta condividono un’infrastruttura molto più ampia, la gestione diventa molto più complessa creando quindi qualche limite.
Log di accesso di Entra ID
Un’altra categoria di log di grande importanza è rappresentata dagli accessi utente in ogni forma e applicazione, conservati per 7 o 30 giorni a seconda della licenza. Questo link fornisce una spiegazione dettagliata. Microsoft 365 conserva questi dati, incrociandoli con gli indirizzi IP pubblici e gli audit delle applicazioni per identificare potenziali violazioni. Questi log sono fondamentali per la sicurezza informatica, richiedendo esperienza e conoscenze specifiche per essere compresi appieno.
Quando una serie di eventi suggerisce un incidente di sicurezza, i dati vengono conservati per 6 mesi all’interno di Microsoft 365. La gestione inizia con Defender, all’interno del tenant del proprietario, ma contribuisce anche a un’intelligenza collettiva per l’autodifesa dei dati, delle applicazioni e delle identità nel cloud Microsoft.
Per garantire la sicurezza, Microsoft rilascia continuamente report sulla Cybersecurity, che possono essere scaricati e studiati per migliorare la protezione.
Report sulla Difesa Digitale Microsoft disponibile qui.
Cyber Signals (IT e OT) disponibile qui.
Conservazione dei metadati in Microsoft 365
I metadati relativi agli accessi e all’uso di Microsoft 365 vengono archiviati automaticamente e la durata di questa conservazione non può essere modificata. Questi dati sono cruciali per la sicurezza informatica e la consapevolezza di ciò è essenziale per tutti. In termini di privacy, è importante che ogni lavoratore sia informato riguardo a queste pratiche e che dia il proprio consenso in modo consapevole.