Disciplinare la posta elettronica prima per non pentirsi dopo

Stefano Gazzella : 22 Settembre 2025 07:15

La gestione della casella di posta elettronica dei dipendenti è un argomento spesso trascurato da parte delle organizzazioni, nonostante lo strumento dell’e-mail sia largamente impiegato e comporti rilevanti impatti su privacy e security. Per quanto strumento di lavoro, infatti, una casella di posta elettronica individuale (e dunque: nominale e attribuita ad un singolo operatore) è considerata domicilio digitale del dipendente e, di conseguenza, richiede una ragionevole protezione a tutela di diritti, libertà fondamentali e dignità degli interessati coinvolti negli scambi delle comunicazioni (intestatario e soggetti terzi).

Questa complessità, riconosciuta non solo dalla giurisprudenza ma anche dalle autorità di controllo per quanto riguarda la normativa applicabile in materia di protezione dei dati personali, richiede pertanto una particolare attenzione nel coordinare gli aspetti di configurazione tecnica con misure organizzative quali istruzioni, policy e disciplinari d’impiego relativamente ad alias, gruppi, listi di distribuzione, caselle di funzioni e caselle individuali.

Perchè è importante adottare un disciplinare d’impiego della posta elettronica.

Sul piano pratico, l’adozione di un disciplinare interno per regolamentare l’impiego della posta elettronica rappresenta l’output di un ragionamento svolto a monte che deve prendere in considerazione requisiti tecnici e normativi per garantire la sicurezza dei sistemi, ivi incluso anche l’aspetto di continuità organizzativa degli stessi, e la protezione dei dati personali degli operatori e dei soggetti coinvolti nel flusso delle e-mail.

CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub. Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati. Ricerca per singola CVE Ricerca le ultime CVE emesse Articolo sul CVE enrichment Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Motivo per cui cedere alla tentazione di fare ricorso a soluzioni one size fits all o copia-incolla selvaggi, non si rivela mai l’espressione di una scelta felice. E men che meno potrà fornire evidenze di alcun ragionamento né contribuisce alla capacità dell’organizzazione di adempiere alle prescrizioni in materia di protezione dei dati personali. Per meglio dire, semmai, rendiconta il ragionamento di qualcun altro che non è l’organizzazione che lo adotta. Il precipitato è di conseguenza quello di una serie di regole scollegate dal contesto, spesso poco efficaci, contraddittorie e poco comprensibili per gli operatori.

Progettare la redazione e l’adozione di un disciplinare è di conseguenza la principale misura organizzativa per mitigare sia i rischi di conformità normativa che di sicurezza.

Linee guida di progettazione del disciplinare d’impiego.

Le linee guida per la progettazione di un disciplinare d’impiego della posta elettronica sono state fornite dal Garante Privacy già dal 2007, individuando la corretta modalità di redazione e diffusione formale in accordo con le indicazioni giuslavoristiche e i contenuti essenziali da fornire e i contenuti fondamentali.

Per quanto riguarda la forma, questa deve consistere in una serie di istruzioni specifiche e un linguaggio chiaro. Ciò significa prevedere, fondamentalmente, una struttura DO/DON’T indicando comportamenti da adottare e vietati. Affinché siano efficaci, devono poi essere diffuse o verso i singoli lavoratori o altrimenti tramite pubblicazione (in bacheca o intranet, nelle modalità previste dall’art. 7 dello Statuto dei lavoratori). Ma perché si mantengano efficaci nel tempo, è necessario che siano aggiornate e riesaminate periodicamente soprattutto al mutamento del contesto tecnologico ed organizzativo.

Per quanto riguarda i contenuti, una checklist utile da adottare è la seguente:

• comportamenti vietati relativi alla navigazione e la gestione dei file;
• disciplina dell’utilizzo promiscuo (ovverosia: personale) della strumentazione di lavoro;
• modalità di controllo previste circa l’utilizzo accettabile della strumentazione;
• conseguenze disciplinari in caso di utilizzo in violazione delle istruzioni o altrimenti illecito;
• informazioni relative al trattamento dei dati relativi al tracciamento dell’attività degli utenti (es. log);
• soluzioni previste per gestire assenze programmate e garantire la continuità operativa (es. risposta automatica);
• informazioni circa la gestione dell’email in seguito alla cessazione del rapporto di lavoro.

Tutto questo, beninteso, è necessario ma non sufficiente per disciplinare correttamente i comportamenti affinché siano conformi alla norma, alle buone pratiche di sicurezza e alle ulteriori istruzioni ricevute. Quel che occorre è infatti che sia riscontrabile un riferimento concreto ed attuale alle operazioni effettivamente svolte, senza formule generiche e, soprattutto, che si abbia contezza dell’effettiva comprensione del disciplinare da parte dei destinatari. Questo può prevedere anche un intervento di formazione mirata nel corso del quale raccogliere eventuali dubbi, obiezioni o spunti di miglioramento da parte dei lavoratori.

Disciplinare la gestione della posta elettronica non è utile, ma fondamentale. Motivo per cui occorre “metterci la testa” prima, per non pentirsi poi.

Altrimenti, quando emergeranno tutti quei problemi a valle che ben si sarebbero potuti evitare a monte ci si troverà ad affrontare una serie di costi operativi, strategici e finanziari.

Prevenendo quel sospirante se solo ci avessi pensato prima, trasversale tanto negli aspetti legali che di sicurezza.

Stefano Gazzella
Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Lista degli articoli
Visita il sito web dell'autore