Protección de datos del correo electrónico
La mayoría de los correos electrónicos son cartas comerciales y, por tanto, están sujetos a periodos de conservación conforme al Derecho mercantil (6 años) que compiten con los periodos de supresión (por ejemplo, si el propósito ya no es aplicable) de la protección de datos.
Los correos electrónicos contienen muchos tipos diferentes de datos en forma de textos y archivos adjuntos.
He aquí algunos ejemplos:
Periodos de conservación:
- Documentos de solicitud = 6 meses después de la adjudicación del puesto, éstos deben eliminarse de la carta comercial sin eliminar la carta comercial en su totalidad.
- Facturas = 10 años de conservación en el original de la factura
- y muchos más, como contratos, confirmaciones de pedido, etc., tenemos una lista de más de 400 periodos de conservación para ello.
Seguridad:
- Los correos electrónicos con datos personales deben enviarse cifrados; esto no sólo significa el transporte cifrado del correo electrónico del cliente al servidor mediante TLS, sino sobre todo el contenido con datos personales, para el que es aconsejable utilizar archivos cifrados o PGP o similares.
- Artículo 9 En la medida de lo posible, los datos de categoría especial no deben enviarse por correo electrónico. Hay otras formas mucho más seguras de transmitir datos.
- Hay que desconfiar de los correos electrónicos procedentes de fuentes extranjeras y con archivos adjuntos
- Debe automatizarse permanentemente un análisis de spam y virus de todos los correos electrónicos.
Integridad y copias de seguridad:
- Los correos electrónicos deben ir firmados dentro de la empresa. Los correos electrónicos especialmente importantes con instrucciones de pago o de largo alcance sólo deben tramitarse con una firma. Los remitentes de correo electrónico pueden ser falsificados, lo que se denomina spoofing, de modo que un correo electrónico puede parecer legítimo, por ejemplo, del jefe, pero no lo es.
- Las copias de seguridad del inventario de correo electrónico deben existir a nivel de servidor como copia de seguridad diaria y la eficacia de la copia de seguridad debe comprobarse periódicamente.
- Los clientes de correo electrónico nunca deben configurarse de tal forma que borren el correo recuperado en el servidor después de recuperarlo y sólo lo almacenen localmente; esto tendría la desventaja de que habría que hacer copias de seguridad locales de los correos electrónicos a diario. Una configuración de este tipo sería inesperada y suele conllevar peligros para el inventario de correo electrónico, ya que no se esperan datos a nivel local y, por lo tanto, el departamento de TI o el proveedor de servicios los pasan por alto involuntariamente.