Conservazione sicura delle password e gestione dei metadati e-mail: i provvedimenti del Garante privacy e la loro implementazione operativa nei sistemi informativi aziendali.

L’Avv. Alessandro Del Ninno ha tenuto una conferenza pratica presso il Dipartimento IT di Finlombarda S.p.A., dedicata all’analisi e all’applicazione operativa di due rilevanti provvedimenti dell’Autorità Garante per la protezione dei dati personali che incidono direttamente sulla gestione tecnica dei sistemi informativi aziendali.

Nel corso dell’incontro, l’Avv. Del Ninno ha approfondito in particolare le modalità di implementazione operativa delle prescrizioni contenute nel provvedimento adottato congiuntamente dal Garante Privacy e dall’Agenzia per la Cybersicurezza Nazionale (ACN) nel dicembre 2023 in materia di conservazione sicura delle password, illustrando le principali misure tecniche e organizzative richieste alle organizzazioni per garantire adeguati livelli di protezione delle credenziali di autenticazione.

L’intervento ha analizzato le implicazioni tecniche e giuridiche della gestione delle credenziali di accesso, con particolare riferimento alle modalità di memorizzazione delle password nei sistemi informativi, alle tecniche di hashing e protezione crittografica, alla gestione sicura delle procedure di autenticazione e ai rischi di sicurezza derivanti da pratiche di conservazione non conformi agli standard di sicurezza richiesti dalle autorità competenti.

Una seconda parte della relazione è stata dedicata all’esame del provvedimento del Garante del 6 giugno 2024 in materia di conservazione dei metadati delle comunicazioni di posta elettronica dei lavoratori, che ha introdotto importanti chiarimenti in merito ai limiti di conservazione di tali informazioni e al loro inquadramento alla luce della normativa in materia di protezione dei dati personali e della disciplina sui controlli a distanza dei lavoratori.

In tale contesto, sono stati analizzati i profili applicativi per le infrastrutture IT aziendali, con particolare attenzione alla gestione dei sistemi di posta elettronica, alle politiche di retention dei metadati e alla necessità di coordinare tali sistemi con le garanzie previste dallo Statuto dei lavoratori e dalla normativa privacy.

L’incontro ha inoltre consentito di esaminare le principali criticità operative che le organizzazioni possono incontrare nell’adeguamento dei propri sistemi informativi a tali provvedimenti, individuando possibili soluzioni tecniche e organizzative per assicurare un corretto bilanciamento tra esigenze di sicurezza informatica, protezione dei dati personali e tutela dei diritti dei lavoratori.

Attraverso un approccio fortemente orientato alla pratica, l’intervento dell’Avv. Del Ninno ha fornito ai partecipanti indicazioni operative per la traduzione delle prescrizioni delle autorità di controllo in misure tecniche e procedure interne concretamente applicabili, evidenziando il ruolo strategico della collaborazione tra funzioni legali, privacy e IT nella gestione della compliance tecnologica.