La nuova normativa sulla privacy, più comunemente conosciuta come GDPR, non cita esplicitamente il backup dati e non parla di copie di riserva. Con precisione, al comma 1 dell’articolo 32 del General Data Protection Regulation viene specificato che tutte le organizzazioni che trattano i dati personali devono inevitabilmente essere in grado di ripristinare, in maniera tempestiva, la disponibilità e l’accesso ai dati personali in caso di incidente, qualsiasi sia la natura dell’incidente, fisica o tecnica che sia.
Tanto vero che uno dei primi passi che si compiono, quando si svolge un’attività di adeguamento, per essere compliant alla normativa GDPR, è proprio quello di verificare che le organizzazioni dispongano di un sistema di backup dati. Infatti, quando si verifica un incidente, si ricorre proprio alle copie di riserva.
Ma qual è il reale problema quando si verifica un incidente?
Il tempo X che intercorre tra l’ultimo backup dati effettuato e l’incidente è un lasso di tempo in cui le aziende hanno proseguito il loro lavoro e, con tutta probabilità non solo i dati si sono modificati ma potrebbero anche essere aumentati.
Di solito infatti, si cerca di minimizzare il tempo che intercorre tra un backup e l’altro così da evitare, in caso di incidente, di perdere dati interi prodotti nel tempo più recente o modifiche ai dati già esistenti.
Non si tratta però solo di questo. Non basta infatti un semplice backup dati ma, per la nuova normativa in vigore, ad ogni sistema di backup dati vanno affiancate policy e procedure. Sempre secondo un altro comma della normativa infatti questi backup devono essere testati nel loro funzionamento, verificati nella loro efficienza e regolamentati in termini di ripetizioni, tempistiche, modalità ecc.
La maggior parte delle aziende però concentrano sforzi energie nella fase successiva al disastro, una fase sui cui, se non si ha un backup e non si ha una procedura da seguire per effettuare il ripristino, si può fare ben poco si può fare. Molti pensano che una volta che si è dotati di backup dati tutto è al sicuro. Ma non è esattamente così.
Spesso si pensa infatti a ripristinare i dati personali il più in fretta possibile, incorrendo però in infrazioni che possono essere molto più onerose rispetto alla perdita dei dati e cioè infrazioni riguardanti i diritti degli interessati tutelati dai principi del GDPR.
Proviamo a spiegarci meglio. Se i dati che vado a ripristinare non sono esatti e aggiornati o se non sono pseudonimizzati e magari infrangendo le norme del GDPR in materia di trattamento dati, i diritti degli interessati. Ad esempio, un backup dati affrettato potrebbe portare a ripristinare un dato che era stato eliminato appositamente o un dato per cui era stata richiesta una limitazione nel trattamento. Un’infrazione di queste può corrispondere ad una multa di un’entità fino a i 20.000.000 di euro.
Ma il punto focale della questione e che giustifica il connubio tra il backup e il GDPR è il seguente: come deve essere eseguito il backup per far sì che un’organizzazione sia in tutto e per tutto compliance alla nuova normativa sulla privacy? E cioè: su quale supporto va fatto, dove va conservato il supporto e con quale frequenza va eseguito il backup dati?
Quali sono alcuni metodi che ci permettono prevenire queste problematiche?
-Effettuare un backup dati incrementale immediato.
-Redigere un Registro per l’esercizio dei diritti, utile a verificare la corrispondenza al tempo immediatamente precedente all’incidente.
-Eseguire le richieste di esercizio di diritto non in modo cumulativo ma poco per volta. La nuova normativa GDPR prevede che l’esecuzione in ritardo possa essere giustificata, documentando opportunamente, con il beneficio della tutela dei diritti degli interessati.
Per approfondire ulteriormente scopri il nostro servizio di backup dati.
