TLS è sufficiente per crittografare le e-mail in modo sicuro e conforme al GDPR? Molti dicono di sì, gli avvocati piuttosto dipende. Ma per cosa? Stephan Heimel di SEPPmail fa luce su questa domanda.
Sia i clienti finali che le società di consulenza e implementazione sentono sempre più spesso l'affermazione: "TLS (Transport Layer Security) è sufficiente per comunicare in modo conforme al GDPR." Dietro questo c'è solitamente il desiderio di comunicare nel modo più semplice possibile tramite comunicazione crittografata Exchange e-mail con altri partner di comunicazione. Sfortunatamente, questa è una conclusione fallace.
Questo è ciò che dice il GDPR
Per considerare questa valutazione da un punto di vista giuridico, si consiglia di dare un’occhiata più da vicino all’articolo 32 del GDPR “Sicurezza del trattamento” e al considerando 83 del GDPR.
L’articolo 32 del GDPR stabilisce che i responsabili del trattamento dei dati personali devono garantire che tali dati siano protetti contro l’accesso non autorizzato. Le parti obbligate devono adottare misure tecniche e organizzative adeguate. Qui è possibile la pseudonimizzazione e la crittografia dei dati. La crittografia deve garantire che i dati personali siano resi inaccessibili a tutte le persone non autorizzate ad accedere ai dati personali (vedi art. 34 par. 3 lett. a GDPR). Qui potete decidere voi stessi se TLS è la tecnologia adatta in tutti i casi.
Attenzione alle risposte scontate
Da un punto di vista legale, le dichiarazioni generali raramente rappresentano un buon approccio. Ecco perché la prima risposta di un avvocato solitamente è: “Dipende…”.
In caso di controversia, i fatti in questione devono essere esaminati caso per caso. Il test potrebbe dimostrare che non era necessaria alcuna crittografia, che la crittografia TLS era sufficiente o che la crittografia end-to-end del contenuto avrebbe dovuto essere utilizzata oltre alla crittografia della linea pura.
Un’affermazione generale come “TLS è sufficiente per una comunicazione conforme al GDPR” dovrebbe essere affrontata con cautela. Al fine di rispettare le norme sulla protezione dei dati, la persona responsabile (ai sensi dell'articolo 4 numero 7 EUGDPR) rimane responsabile. Perché non solo il rischio ricade su di lui, ma le conseguenze lo riguardano anche, se necessario personalmente. Le possibili sanzioni includono, tra le altre cose, richieste di ricorso contro la direzione o rappresentanti speciali per conformità, protezione dei dati e sicurezza delle informazioni. Il risarcimento dei danni è normalmente richiesto dal diritto civile. Ciò include anche le perdite finanziarie senza limite di responsabilità. Le sanzioni di diritto pubblico comprendono multe, reclusione o sanzioni amministrative. Le misure normative possono addirittura portare alla chiusura dell’attività.
L'arte della comunicazione sicura tramite posta elettronica
Considerati questi potenziali pericoli, è fondamentale adottare ogni misura pratica possibile per ridurre al minimo i rischi e massimizzare la sicurezza della posta elettronica. Oltre alla crittografia TLS utilizzata di frequente, sono disponibili vari altri metodi di crittografia per proteggere le e-mail riservate. Ciò include tecnologie come S/MIME e PGP, che forniscono la crittografia end-to-end e garantiscono che solo il destinatario autorizzato possa decrittografare il contenuto.
Allo stesso modo, l’utilizzo della crittografia spontanea è un’opzione praticabile per crittografare e-mail o messaggi specifici secondo necessità, creando un ulteriore livello di sicurezza. Tutte queste tecnologie sono state sviluppate in modo tale da non dover essere costruite sull'infrastruttura sottostante, ma piuttosto funzionare in modo indipendente tra trasmettitore e ricevitore.
Idealmente, queste tecnologie sono combinate in modo tale che la riservatezza e l’integrità della comunicazione e-mail non costituiscano in nessun caso motivo di violazione del GDPR.
Maggiori informazioni su SEPPmail.de
Informazioni su SEPPmail
L'azienda attiva a livello internazionale e gestita dal proprietario SEPPmail, con sede in Svizzera e Germania, è un produttore nel campo della "Secure Messaging". La sua tecnologia brevettata e pluripremiata per il traffico e-mail spontaneo e sicuro crittografa i messaggi elettronici e, se lo si desidera, fornisce loro una firma digitale. Le soluzioni e-mail sicure sono disponibili in tutto il mondo e danno un contributo duraturo alla comunicazione sicura tramite posta elettronica.