{"id":1593,"date":"2016-05-05T05:55:56","date_gmt":"2016-05-05T03:55:56","guid":{"rendered":"https:\/\/blog.europrivacy.org\/?p=1593"},"modified":"2016-06-12T18:04:14","modified_gmt":"2016-06-12T16:04:14","slug":"disaster-recovery-is-becoming-an-obligation-for-all","status":"publish","type":"post","link":"https:\/\/blog.europrivacy.info\/it\/2016\/05\/05\/disaster-recovery-is-becoming-an-obligation-for-all\/","title":{"rendered":"IL DISASTER RECOVERY DIVENTA UN OBBLIGO PER TUTTI?"},"content":{"rendered":"

Una differenzia sostanziale fra il GDPR e l\u2019attuale Dlgs 196\/03 riguarda gli adempimenti richiesti a Data Controller e Data Processor per quanto attiene la capacit\u00e0 di garantire nel continuo l\u2019accesso ai dati.<\/p>\n

L\u2019attuale normativa privacy si occupa del tema principalmente nell\u2019Allegato B, la dove come misura minima 23 cita:<\/p>\n

23. Sono adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni. <\/em><\/p>\n

Il tempo massimo concesso per il ripristino dei dati e dei sistemi \u00e8 di ben sette giorni.<\/p>\n

Un lasso di tempo notevole, che di per s\u00e9 stesso non \u00e8 compatibile con le esigenze della maggior parte delle attivit\u00e0 produttive e commerciali, che non possono sopravvivere a fermi cos\u00ec prolungati dei propri sistemi informativi.<\/p>\n

Le richieste quindi per il rispetto della normativa privacy, almeno da questo punto di vista, sono pertanto molto limitate e sicuramente soddisfatte nella maggior parte dei casi con delle semplice copie di backup ed adeguati contratti di manutenzione ed assistenza.<\/p>\n

Ben diverso \u00e8 il tenore dell\u2019articolo 30 del GDPR, che cos\u00ec recita:<\/p>\n

Articolo 30 Sicurezza del trattamento <\/em><\/p>\n

    \n
  1. Tenuto conto dello stato dell’arte e dei costi di attuazione, nonch\u00e9 della natura, del campo di applicazione, del contesto e delle finalit\u00e0 del trattamento, come anche del rischio di varia probabilit\u00e0 e gravit\u00e0 per i diritti e le libert\u00e0 delle persone fisiche, il responsabile del trattamento e l’incaricato del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono tra l’altro, se del caso: <\/em><\/li>\n
  2. a) la pseudonimizzazione e la cifratura dei dati personali; <\/em><\/li>\n
  3. b) la capacit\u00e0 di assicurare la continua riservatezza, integrit\u00e0, disponibilit\u00e0 e resilienza dei sistemi e dei servizi che trattano i dati personali; <\/em><\/li>\n
  4. c) la capacit\u00e0 di ripristinare tempestivamente la disponibilit\u00e0 e l’accesso dei dati in caso di incidente fisico o tecnico; <\/em><\/li>\n
  5. d) una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. <\/em><\/li>\n<\/ol>\n

    Al di l\u00e0 della premessa iniziale, in particolare il comma c) poco spazio lascia a valutazioni di proporzionalit\u00e0 fra misure di sicurezza, costi, tutela degli interessati e interessi di chi effettua il trattamento.<\/p>\n

    Si pu\u00f2 discuter su cosa si intenda per TEMPESTIVAMENTE, termine che la norma richiama anche in altre occasioni, come ad esempio la notifica della violazione di dati personali.<\/p>\n

    Sicuramente siamo ben lontani dal concetto del 7 giorni proposti dall\u2019attuale Dlgs 196\/03.<\/p>\n

    A ci\u00f2 si aggiunge la richiesta che i sistemi ed i servizi siano resilienti e disponibili, termini che nel linguaggio tecnico possono essere tradotti come una via di mezzo fra alta affidabilit\u00e0 e disaster recovery.<\/p>\n

    Se infatti l\u2019alta affidabilit\u00e0\/disponibilit\u00e0 garantisce la resilienza dei sistemi in caso di eventi limitati, la richiesta del successivo comma c) fa presupporre che ci\u00f2 non sia sufficiente per soddisfare i requisiti normativi, che richiedono un accesso tempestivo in caso di incidenti fisici o tecnici.<\/p>\n

    Quanto meno quest\u2019ultima precisazione porta a considerare che l\u2019interesse del legislatore non si estenda anche ad altri scenari, come quelli prospettati ad esempio da Banca d\u2019Italia e che porterebbe ad un obbligo generalizzato di soluzioni di continuit\u00e0 operativa.<\/p>\n

    Al di l\u00e0 del valutare se la richiesta sia o meno eccessiva \u00e8 innegabile che una lettura letterale della norma comporter\u00e0 un impegno non indifferente per tutti coloro che trattano dati personali, i quali saranno costretti, oltre ad implementare le misure di sicurezza richieste, anche a dimostrare che queste siano in linea con le prescrizioni normative.<\/p>","protected":false},"excerpt":{"rendered":"

    Una differenzia sostanziale fra il GDPR e l\u2019attuale Dlgs 196\/03 riguarda gli adempimenti richiesti a Data Controller e Data Processor per quanto attiene la capacit\u00e0 di garantire nel continuo l\u2019accesso ai dati. L\u2019attuale normativa privacy si occupa del tema principalmente nell\u2019Allegato B, la dove come misura minima 23 cita: 23. Sono adottate idonee misure per\u2026 Leggi tutto »<\/a><\/span><\/p>\n","protected":false},"author":42,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5,2],"tags":[],"class_list":["post-1593","post","type-post","status-publish","format-standard","hentry","category-impact-risk-and-measures","category-legal-framework"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/1593","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=1593"}],"version-history":[{"count":5,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/1593\/revisions"}],"predecessor-version":[{"id":1653,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/1593\/revisions\/1653"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=1593"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=1593"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=1593"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}