Condominio

I MERCOLEDÌ DELLA PRIVACY: Il backup dei dati, un processo da implementare

Non fidiamoci del solo backup effettuato dai gestionali, ci vuole altro per essere conformi al Gdpr

di Carlo Pikler (Responsabile Centro Studi Privacy and Legal Advice 2018 S.r.l)

Nel corso degli innumerevoli audit effettuati, quando si parla di backup all'amministratore, spesso mi è stato risposto: «Il mio gestionale lo fa giornalmente». Può essere sufficiente questa garanzia per l'amministratore?

Purtroppo no, volente o nolente, non tutti i dati che si vanno a gestire stanno sempre all'interno del gestionale. Basti pensare, ad esempio, ai file in lavorazione.
Cos'altro occorre fare allora?

I principi base
Il corollario di partenza è che non esistono sistemi a prova di hacker. L'amministratore quindi, nell'affrontare le attività di adeguamento, deve implementare un sistema di backup che garantisca il perseguimento dei principi base dettati dal GDPR:
1. assicurarsi di avere un sistema di back-up schedulato (meglio se giornaliero) sia per i contenuti del sito sia per i database che contengono i dati dei condomini e degli utenti;
2. avere più copie dello stesso back-up in posti diversi (locale, cloud e off-line);
3. limitare l'accesso ai dati di back-up ai soli addetti e/o responsabili autorizzati o nominati;
4. usare necessariamente supporti, dischi o sistemi che prevedono la cifratura dei dati;
5. testare i back-up con cadenza periodica mediante prove di restore dei dati atti a verificarne l'integrità, tenendo prova documentale dell'attività svolta.

La norma
L'articolo 32 GDPR, intitolato “Sicurezza del trattamento”, dispone che: «1) Tenuto conto dello stato dell'arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il responsabile del trattamento e l'incaricato del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono tra l'altro, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati in caso di incidente fisico o tecnico ;
d) una procedura per provare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento».

I suddetti punti, sono strettamente connessi alle procedure di backup. L'Amministratore, deve assicurarsi di avere delle procedure di cifratura dei dati e la capacità di ripristinare l'accesso agli stessi in caso di attacchi hacker o guasti tecnici, ma occorrerà anche che il sistema di backup sia sempre funzionante e attivo, ripristinabile, che consenta di cifrare il contenuto dei dati salvati, in modo tale da renderlo inaccessibile senza la password.

Gli altri strumenti
Il processo di backup, inteso come strumento tecnico e organizzativo atto a produrre copie di riserva dei propri dati, deve essere affiancato da altrettanti strumenti tecnici ed organizzativi di ripristino che devono essere, in ordine alla loro efficacia e secondo il dettato previsto dalla lettera d), comma 1 dell'art. 32, in maniera regolare e continuativa testati (cioè provati), verificati (ovvero corrispondenti all'obiettivo e ripetibili) e valutati (quindi esaminati nei possibili margini di miglioramento).

Impostare i processi
Tutti questi processi, dovrebbero essere implementati all'origine delle impostazioni dei processi che si vorranno attuare per lo svolgimento delle attività lavorative. Ciò in ossequio ai principi di p rivacy by design e di privacy by default che obbligano alla valutazione di misure preventive e predefinite che vadano a mitigare i rischi sui diritti e le libertà delle persone fisiche in relazione alle misure tecniche ed organizzative che si intendono attuare o implementare nei processi dello studio professionale.

Le valutazioni, i test e le verifiche devono sempre essere messe “nero su bianco”, documentate all'interno del registro dei trattamenti e debitamente annotate, per consentire una facile lettura sia da parte degli eventuali organi ispettivi, sia da parte dei medesimi soggetti incaricati o responsabili dei trattamenti, così da poter riscontrare eventuali richieste di accesso formulate da parte degli interessati condomini, a cui l'amministratore è obbligato a rispondere entro 30 giorni utilizzando un linguaggio semplice nella forma e di facile comprensione nei contenuti.

I rischi e i problemi
La criticità per gli studi di amministrazione sta nella circostanza che tra il momento dell'incidente, ed il tempo nel quale è stato eseguito l'ultimo backup, vi è un tempo di lavorazione che inevitabilmente verrà perso, creando degli inconvenienti operativi non di poco conto.

Il rischio in questione può solamente minimizzarsi, sincronizzando più backup.
Altro problema che si può porre quando si tratta di backup è l'interconnessione di questo dovere con il diritto all'oblio che ciascun interessato può avanzare nei confronti del titolare del trattamento (ad esempio: può chiedere la cancellazione dei propri dati all'amministratore un conduttore di un immobile privato che, a contratto scaduto, è andato a vivere altrove). In questo caso, ad esempio, il CLIL (Garante francese) ha specificato che non si devono necessariamente eliminare i dati nel backup a fronte di una richiesta di cancellazione, purché il titolare del trattamento specifichi chiaramente all'interessato i tempi di conservazione dei dati di backup (e, ovviamente, questi siano congrui).

Insomma, lungi dal pensare che gli incombenti dell'amministratore sino di poco conto … anzi!

Per saperne di piùRiproduzione riservata ©