GDPR e Backup: adeguarsi alla normativa su privacy e protezione dati

Cos’è la GDPR

Il 25 maggio 2018 entra in vigore la General Data Protection Regulation (GDPR) dell’Unione Europea, una articolata normativa che aggiunge nuove tutele per tutti i cittadini residenti nella UE. La normativa riconosce il diritto degli individui alla portabilità dei dati, all’oblio, a essere informati in modo trasparente sui trattamenti effettuati alle loro informazioni e di essere avvisati tempestivamente su eventuali violazioni della sicurezza.

GDPR e Backup, come adeguarsi alla normativa

Tra i numerosi punti toccati dalla regolamentazione GDPR, uno di quelli sicuramente più importanti riguarda la protezione dei dati e il backup degli stessi. Per questo motivo, l’argomento tocca da vicino tutte le aziende che immagazzinano e gestiscono dati sensibili degli utenti, e tutti quei produttori software che offrono strumenti di backup e cifratura dei dati, oltreché gli apparati necessari per proteggere reti e sistemi operativi, come antivirus e firewall.

Andiamo subito nel dettaglio della normativa che riguarda il backup e la protezione dei dati, evidenziandone i seguenti punti:

 

Articolo 32 – Sicurezza del trattamento

1) Tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il responsabile del trattamento e l’incaricato del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono tra l’altro, se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;

c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;

d) una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

 

Dei suddetti punti, due sono certamente e strettamente connessi alle procedure di backup. Il responsabile del trattamento dei dati, ovvero il soggetto che immagazzina dati sensibili di cittadini UE, deve assicurarsi di avere delle procedure di cifratura dei dati e la capacità di ripristinare l’accesso agli stessi in caso di attacchi hacker o guasti tecnici. In parole povere, questo significa avere delle procedure di backup dei dati sempre attive, e che consentano inoltre di cifrare il contenuto del backup stesso, in modo tale da renderlo inaccessibile a chi non conosca le necessarie password. Infine, il backup deve essere rapidamente ripristinabile.

Per adempiere a questi due specifici punti, qualsiasi azienda interessata dalla normativa deve dotarsi di un software di backup e configurarlo in base alle proprie strategie di conservazione dei dati.

Ecco alcuni link utili per documentarsi sulla normativa:

https://ec.europa.eu/info/law/law-topic/data-protection_en

https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_en

http://eur-lex.europa.eu/legal-content/EN/LSU/?uri=celex:31995L0046

N.B.: questo articolo non deve essere utilizzato come consulenza legale per la tua azienda per quello che riguarda la conformità alle leggi sulla privacy dei dati come il GDPR. Si tratta di informazioni tecniche di base per aiutarti a comprendere il ruolo del backup nella GDPR.
%d blogger hanno fatto clic su Mi Piace per questo: