GDPR e email: gli obblighi che non conosci

Il GDPR non riguarda solo i form del sito

Quando si parla di GDPR, la maggior parte delle aziende pensa subito ai cookie banner, ai moduli di consenso sul sito web, alle informative privacy. Tutto giusto, per carita. Ma c'e un elefante nella stanza che quasi nessuno guarda: le email aziendali.

Ogni giorno la tua azienda invia e riceve centinaia di email. Molte contengono dati personali: nomi, indirizzi, codici fiscali, informazioni sanitarie, dati bancari. Eppure, quante aziende hanno una policy chiara su come gestire questi dati nelle email? Pochissime.

In questo articolo ti spiego tutti gli obblighi GDPR legati alla posta elettronica che probabilmente non conosci. E ti mostro come evitare sanzioni che possono arrivare fino al 4% del fatturato annuo.

Data retention: per quanto tempo puoi conservare le email?

Partiamo dalla domanda che nessuno si fa: per quanto tempo e lecito conservare le email aziendali?

Il GDPR e chiaro su un principio: i dati personali vanno conservati solo per il tempo strettamente necessario alla finalita per cui sono stati raccolti. Tradotto in pratica: non puoi tenere le email per sempre "perche non si sa mai".

Eppure e esattamente quello che fa la maggior parte delle aziende. Caselle email con archivi di 10, 15, persino 20 anni. Migliaia di messaggi contenenti dati personali di clienti, fornitori, ex dipendenti. Tutti li, senza nessuna policy di cancellazione.

Cosa fare in pratica

• Definisci periodi di conservazione per categoria: email commerciali (10 anni per obblighi fiscali), email HR (durata del rapporto + periodo di prescrizione), email marketing (fino a revoca consenso)
• Implementa policy di cancellazione automatica alla scadenza dei periodi definiti
• Documenta tutto nel registro dei trattamenti (art. 30 GDPR)
• Forma il personale sulla gestione corretta degli archivi email

Un sistema di archiviazione email professionale ti permette di applicare queste policy in modo automatico, senza affidarti alla buona volonta dei singoli dipendenti.

Diritto all'oblio: cancellare le email su richiesta

L'articolo 17 del GDPR prevede il diritto alla cancellazione, comunemente chiamato diritto all'oblio. Un cliente, un fornitore o un ex dipendente puo chiederti di cancellare tutti i suoi dati personali. Incluse le email.

Immagina la scena: un ex cliente ti scrive chiedendo la cancellazione di tutti i suoi dati. Tu dici "certo, nessun problema". Poi realizzi che i suoi dati sono sparsi in centinaia di email, nelle caselle di 15 dipendenti diversi, negli archivi di backup, nelle cartelle condivise.

Come fai a garantire la cancellazione completa? Senza gli strumenti giusti, e praticamente impossibile.

Le eccezioni da conoscere

Non tutte le email vanno cancellate su richiesta. Il GDPR prevede eccezioni importanti:

• Obblighi legali: le email relative a transazioni fiscali vanno conservate per i termini di legge
• Difesa in giudizio: puoi conservare email necessarie per tutelare i tuoi diritti legali
• Interesse pubblico: in alcuni settori regolamentati, la conservazione e obbligatoria

La chiave e avere un sistema che ti permetta di cercare, identificare e cancellare selettivamente i dati personali nelle email, mantenendo cio che sei obbligato a conservare. La nostra guida sulla conformita email approfondisce tutti questi aspetti.

Il ruolo del DPO nella gestione delle email

Se la tua azienda ha un Data Protection Officer (obbligatorio per enti pubblici, aziende che trattano dati su larga scala o dati sensibili), il DPO deve occuparsi anche delle email. E non in modo superficiale.

Il DPO dovrebbe:

• Verificare le policy di retention delle caselle email almeno una volta l'anno
• Controllare che la crittografia sia attiva sulle comunicazioni sensibili
• Monitorare gli accessi alle caselle email (chi accede a cosa e quando)
• Gestire le richieste di cancellazione che coinvolgono dati nelle email
• Valutare i rischi legati al transito di dati personali via email

In molte aziende il DPO non ha nemmeno visibilita su quante email contengono dati personali. E questo e un problema serio, perche in caso di ispezione del Garante, la mancata supervisione puo costare cara.

Crittografia delle email: obbligo o raccomandazione?

Qui si apre un dibattito interessante. Il GDPR non impone esplicitamente la crittografia delle email. L'articolo 32 parla di "misure tecniche e organizzative adeguate", citando la cifratura come esempio. Ma "adeguate" rispetto a cosa?

Rispetto al rischio. Se la tua azienda tratta dati sanitari, finanziari o giudiziari via email, la crittografia non e piu una raccomandazione: e di fatto obbligatoria. Perche il rischio e alto e le misure devono essere proporzionate.

Cosa significa in pratica

• TLS in transito: il minimo sindacale. Le email devono viaggiare su canali cifrati tra i server. La maggior parte dei provider lo fa gia, ma verifica che sia enforced e non opportunistico
• Crittografia end-to-end: per comunicazioni particolarmente sensibili (dati sanitari, legali, finanziari), valuta S/MIME o PGP
• Crittografia at rest: le email archiviate devono essere cifrate sul server, non solo in transito
• Gestione delle chiavi: inutile cifrare se poi le chiavi sono accessibili a chiunque

MailSniper, basato su Libraesva, supporta TLS enforced su tutte le comunicazioni e si integra con sistemi di crittografia avanzata. Cosi non devi preoccuparti della sicurezza del canale di posta. Scopri di piu nella nostra informativa privacy su come gestiamo i dati.

Data breach e email: notifica entro 72 ore

L'articolo 33 del GDPR impone la notifica di un data breach al Garante entro 72 ore dalla scoperta. E l'articolo 34 prevede la notifica agli interessati se il rischio e elevato.

Ora, pensa a quanti data breach coinvolgono le email:

• Phishing riuscito: un dipendente clicca su un link malevolo e le credenziali della casella vengono rubate. L'attaccante accede a mesi di email con dati personali
• Business Email Compromise: un attaccante prende il controllo di una casella email aziendale e la usa per mesi, leggendo tutto
• Invio errato: un dipendente invia un file con dati personali al destinatario sbagliato. Si, anche questo e un data breach
• Ransomware: un allegato malevolo cripta tutti i dati, incluse le email archiviate

Il punto e che prevenire e infinitamente meglio che notificare. Un sistema antispam e anti-phishing efficace blocca la stragrande maggioranza di queste minacce prima che diventino un breach da notificare. Con MailSniper, il 99.9% delle email malevole viene intercettato prima di raggiungere la casella del dipendente.

Consenso per email marketing: le regole che cambiano tutto

Il GDPR ha rivoluzionato le regole del marketing via email. Non basta piu il vecchio "consenso implicito". Serve un consenso:

• Libero: non puoi condizionare un servizio all'iscrizione alla newsletter
• Specifico: il consenso per la newsletter e diverso dal consenso per email promozionali di terzi
• Informato: devi spiegare chiaramente cosa invierai e con che frequenza
• Inequivocabile: niente caselle pre-selezionate, serve un'azione positiva dell'utente

Il soft spam: l'eccezione italiana

In Italia esiste un'eccezione interessante: il soft spam. Se un cliente ha gia acquistato da te, puoi inviargli comunicazioni commerciali su prodotti o servizi analoghi, senza consenso esplicito. Ma attenzione:

• Deve essere un cliente esistente (non un semplice contatto)
• Devi offrire un modo semplice per cancellarsi in ogni comunicazione
• I prodotti promossi devono essere analoghi a quelli gia acquistati

In ogni caso, il tuo sistema di invio deve garantire che le email di marketing siano autenticate correttamente (SPF, DKIM, DMARC) per non finire in spam e per proteggere la reputazione del tuo dominio.

Come MailSniper ti aiuta con la conformita GDPR

MailSniper non e solo un antispam. E un alleato fondamentale per la conformita GDPR delle tue comunicazioni email. Ecco come:

Protezione proattiva dei dati

• Blocco phishing e malware: previene i data breach alla fonte, bloccando il 99.9% delle minacce
• Sandboxing degli allegati: analizza i file sospetti in ambiente isolato prima che raggiungano la casella
• URL rewriting: riscrive i link nelle email per verificarli al momento del click, non solo alla consegna

Controllo e visibilita

• Log completi: traccia ogni email in entrata e in uscita, utile per dimostrare la conformita
• Quarantena trasparente: le email bloccate sono visibili e recuperabili, con motivazione del blocco
• Report periodici: dashboard con statistiche sulle minacce bloccate, utili per il DPO

Integrazione con il tuo ecosistema

MailSniper si integra nativamente con Office 365 e Google Workspace, senza richiedere modifiche ai tuoi server. L'attivazione richiede pochi minuti e non comporta downtime.

Vuoi capire quanto risparmi evitando un data breach? Usa il nostro calcolatore ROI per stimare il ritorno sull'investimento in sicurezza email.

Le sanzioni: numeri che fanno riflettere

Il Garante italiano non scherza. Nel 2025 sono state comminate sanzioni per milioni di euro legate a violazioni GDPR nella gestione delle email. Alcuni esempi reali:

• Un'azienda sanitaria multata per 75.000 euro per aver inviato referti via email non cifrata
• Un'azienda di marketing sanzionata per 200.000 euro per invio di newsletter senza consenso valido
• Un ente pubblico multato per 50.000 euro per mancata notifica di un breach partito da un'email di phishing

Questi non sono scenari ipotetici. Sono casi reali che puoi trovare nel registro dei provvedimenti del Garante. E le sanzioni possono arrivare fino a 20 milioni di euro o il 4% del fatturato mondiale, a seconda di quale importo sia maggiore.

Checklist GDPR per le email aziendali

Ecco una checklist pratica che puoi usare subito:

• Hai definito periodi di data retention per le email?
• Hai una procedura per gestire le richieste di cancellazione che coinvolgono le email?
• Le email con dati sensibili viaggiano su canali cifrati?
• Il tuo DPO ha visibilita sulla gestione delle email aziendali?
• Hai un sistema per rilevare e bloccare le minacce email (phishing, malware, BEC)?
• Hai una procedura di notifica breach che include gli incidenti email?
• Le tue email di marketing rispettano le regole sul consenso?
• Hai documentato tutte queste misure nel registro dei trattamenti?

Se hai risposto "no" a piu di due domande, e il momento di agire. La conformita GDPR non e un optional: e un obbligo di legge. E le email sono il canale piu esposto e meno protetto nella maggior parte delle aziende.

Scopri come la direttiva NIS2 aggiunge ulteriori obblighi per la sicurezza delle comunicazioni digitali, soprattutto per le aziende nei settori critici.

Conclusione: non aspettare l'ispezione

Il GDPR e le email aziendali sono un binomio che troppe aziende sottovalutano. Data retention, diritto all'oblio, crittografia, notifica dei breach, consenso marketing: sono tutti obblighi reali con sanzioni reali.

La buona notizia? Mettersi in regola non e cosi complicato, se hai gli strumenti giusti. MailSniper ti protegge dalle minacce email e ti da la visibilita e il controllo necessari per dimostrare la conformita.

Provalo gratis per 14 giorni e scopri quante email pericolose passano inosservate nella tua azienda. Ci vogliono 5 minuti per attivarlo, zero per il tuo team IT.