IL DISASTER RECOVERY DIVENTA UN OBBLIGO PER TUTTI?

di | 5 May 2016

Una differenzia sostanziale fra il GDPR e l’attuale Dlgs 196/03 riguarda gli adempimenti richiesti a Data Controller e Data Processor per quanto attiene la capacità di garantire nel continuo l’accesso ai dati.

L’attuale normativa privacy si occupa del tema principalmente nell’Allegato B, la dove come misura minima 23 cita:

23. Sono adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.

Il tempo massimo concesso per il ripristino dei dati e dei sistemi è di ben sette giorni.

Un lasso di tempo notevole, che di per sé stesso non è compatibile con le esigenze della maggior parte delle attività produttive e commerciali, che non possono sopravvivere a fermi così prolungati dei propri sistemi informativi.

Le richieste quindi per il rispetto della normativa privacy, almeno da questo punto di vista, sono pertanto molto limitate e sicuramente soddisfatte nella maggior parte dei casi con delle semplice copie di backup ed adeguati contratti di manutenzione ed assistenza.

Ben diverso è il tenore dell’articolo 30 del GDPR, che così recita:

Articolo 30 Sicurezza del trattamento

  1. Tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il responsabile del trattamento e l’incaricato del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono tra l’altro, se del caso:
  2. a) la pseudonimizzazione e la cifratura dei dati personali;
  3. b) la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
  4. c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
  5. d) una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Al di là della premessa iniziale, in particolare il comma c) poco spazio lascia a valutazioni di proporzionalità fra misure di sicurezza, costi, tutela degli interessati e interessi di chi effettua il trattamento.

Si può discuter su cosa si intenda per TEMPESTIVAMENTE, termine che la norma richiama anche in altre occasioni, come ad esempio la notifica della violazione di dati personali.

Sicuramente siamo ben lontani dal concetto del 7 giorni proposti dall’attuale Dlgs 196/03.

A ciò si aggiunge la richiesta che i sistemi ed i servizi siano resilienti e disponibili, termini che nel linguaggio tecnico possono essere tradotti come una via di mezzo fra alta affidabilità e disaster recovery.

Se infatti l’alta affidabilità/disponibilità garantisce la resilienza dei sistemi in caso di eventi limitati, la richiesta del successivo comma c) fa presupporre che ciò non sia sufficiente per soddisfare i requisiti normativi, che richiedono un accesso tempestivo in caso di incidenti fisici o tecnici.

Quanto meno quest’ultima precisazione porta a considerare che l’interesse del legislatore non si estenda anche ad altri scenari, come quelli prospettati ad esempio da Banca d’Italia e che porterebbe ad un obbligo generalizzato di soluzioni di continuità operativa.

Al di là del valutare se la richiesta sia o meno eccessiva è innegabile che una lettura letterale della norma comporterà un impegno non indifferente per tutti coloro che trattano dati personali, i quali saranno costretti, oltre ad implementare le misure di sicurezza richieste, anche a dimostrare che queste siano in linea con le prescrizioni normative.

Categoria: Impatti Rischi e Misure Legal framework

Informazioni su Giancarlo Butti

Deals with ICT, organization and legislation since the early 80s covering different roles: security manager, project manager, auditor at banking groups, consultant in security and privacy to companies of different sectors and sizes. Performs regular activity of dissemination through articles (over 700), books (21 between books and white papers also used as university texts, 11 collective works within the ABI LAB, Oracle Community for Security and CLUSIT), technical manuals, courses, seminars, conferences… participates in working groups to ABI LAB on Business Continuity, Risk and GDPR, ISACA-AIEA on GDPR and 263, Oracle Community for Security, UNINFO, ASSOGESTIONI and the Committee of experts for the innovation of OMAT360. He is a member of the faculty of ABI Training. He is a partner and proboviro of ISACA-AIEA Member of CLUSIT and BCI. He is certified (LA BS7799), (LA ISO IEC 27001:2013), CRISC, ISM, DPO, CBCI, AMBCI.

2 pensieri su “IL DISASTER RECOVERY DIVENTA UN OBBLIGO PER TUTTI?

  1. paolo calvi

    ottima analisi. forse non tutti stiamo mettendo abbastanza attenzione su questo aspetto. oltre al comma c) terrei in considerazione anche la forza del comma d): se fossi un audit andrei proprio a chiedere l’esistenza di tale “procedura per testare, verificare e valutare regolarmente l’efficacia delle misure” e soprattutto andrei a vedere se la procedura stessa è applicata correttamente e regolarmente, quali sono i risultati emersi e le azioni correttive ad eventuali criticità emerse.
    PS: mi permetto solo di segnalare che la versione definitiva del GDPR ha rinominato diversi articoli, per cui quello sulla sicurezza è ora il 32.

  2. gianluca corsi

    Questa introduzione lascia spazio alle più svariate interpretazioni…
    “…. garantire un livello di sicurezza adeguato al rischio, che comprendono tra l’altro, se del caso: …”

    Proprio sulla valutazione del rischio si gioca la partita … molti dichiareranno basso il rischio e nulla l’esigenza di ripristinare l’accesso dei dati in modo tempestivo. Almeno con l’allegato B vi era l’obbligo di definire “i tempi certi”. Cosa che oggi viene certificata presentando un piano di backup …. mentre la richiesta è una procedura di ripristino che dovrebbe tenere presente le varie tipologie di disaster e come si intende ripartire….
    Sistemi, network, applicazioni e dati: ogni componente o tutti potrebbe essere soggetti ad un evento disastroso. Nel caso più grave avendo un backup off site … è relativamente facile riaccendere le macchine su un nuovo sistema. Questo però non vuol dire aver definito “che cosa fare se”, nei modi nei tempi e nei costi.

    Se io fossi un auditor andrei proprio a chiedere questo !!! E torniamo alla premessa “Tenuto conto dello stato dell’arte e dei costi di attuazione” … bisogna chiudere il cerchio con modi tempi e costi.

    Altrimenti il rischio è che se sono libero di non pagare l’assicurazione dell’auto intanto lo faccio pensando che il costo non è giustificato. Noi in questo come italiani siamo i campioni del mondo!!

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.