Normativa GDPR e Backup


Secondo la normativa italiana ed europea (GDPR) esistono precisi obblighi di legge per tutti coloro che posseggono e gestiscono dati in forma digitale. In particolare, le prescrizioni riguardano i dati personali e sensibili, entrambi molto frequenti e diffusi.

 

Normative Italiane

 

L’art 31 del D.lgs 196/2003 testualmente recita:
“I dati personali oggetto del trattamento sono custoditi e controllati […] in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale,…”

Ma i chiari riferimenti all’adozione di misure specifiche per la memorizzazione preventiva (backup) dei dati non si concludono in questa norma di carattere generale. Infatti l’art. 34 comma 1-f del codice autorizza il trattamento con strumenti elettronici solo se sono previste una serie di misure minime di sicurezza tra cui l’adozione di procedure per la custodia di copie di sicurezza, il ripristino di disponibilità dei dati e dei sistemi.

Al semplice backup si aggiungono prescrizioni anche sul disaster recovery, al quale fa esplicito riferimento l’Allegato B al codice. L’art. 18 del documento impone che il salvataggio abbia almeno frequenza settimanale e l’art. 23 obbliga ad adottare misure di ripristino idonee a rendere i dati nuovamente accessibili nell’arco massimo di sette giorni dal disaster.

 

Normativa Europea

REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

del 27 aprile 2016

relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

Sezione 2

Sicurezza dei dati personali

Articolo 32

Sicurezza del trattamento

1.   Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a)

la pseudonimizzazione e la cifratura dei dati personali;

b)

la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c)

la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

d)

una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

2.   Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.