Il tuo indirizzo IP

3.85.10.62

 

Il tuo backup è in regola con il GDPR? Come rispettare la normativa sulla privacy.

Il tuo backup è in regola con il GDPR? Come rispettare la normativa sulla privacy.

Il backup dei dati diventa indispensabile con il GDPR.

 

Esattamente un anno fa, il 25 Maggio 2018, entrava in vigore la General Data Protection Regulation (GDPR) dell’Unione Europea, una articolata normativa sulla privacy e la protezione dei dati personali. L’obiettivo principale del regolamento è quello di rafforzare e rendere omogeneo il trattamento dei dati personali dei cittadini e residenti dell’Unione Europea. Per maggiori informazioni sui dettagli della normativa e sugli adempimenti previsti per le aziende vi rimandiamo all’articolo che avevamo scritto lo scorso anno nel nostro blog: GDPR: guida operativa per l’applicazione del regolamento europeo sulla privacy.

 

Appena il nuovo regolamento è entrato in vigore non si parlava d’altro, le aziende hanno iniziato la corsa all’adeguamento normativo anche se ancora non erano definite tutte le modalità operative con cui rispettare la nuova legge. Con il passare dei mesi, l’argomento è stato da molti accantonato ma invece è ancora oggi più che mai attuale ed è importante ricordare che chi non è adeguato potrebbe subire delle sanzioni nel caso di verifiche.

 

Cosa prevede la normativa per il backup.

 

Tra i numerosi punti toccati dalla regolamentazione GDPR, uno di quelli sicuramente più importanti riguarda la protezione dei dati e il backup degli stessi. La normativa non parla mai direttamente di backup o di copie di riserva, ma in fase di verifica all’adeguamento è il primo elemento che viene considerato.  Le domande sono quasi sempre le stesse: è previsto un sistema di backup? funziona correttamente? con quale frequenza vengono effettuati i backup?  quali supporti si usano e dove vengono conservati?

 

La normativa relativa ai backup è definita all’articolo 32 del GDPR: il responsabile del trattamento dei dati, ovvero il soggetto che immagazzina dati sensibili di cittadini UE, deve assicurarsi di avere delle procedure di cifratura dei dati e la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico. Questo significa avere delle procedure di backup dei dati sempre attive, e che consentano inoltre di cifrare il contenuto del backup stesso, in modo tale da renderlo inaccessibile a chi non conosca le necessarie password.

 

GDPR e backup: policy e linee guida.

 

Ricordiamo che il backup deve riguardare tutti i dati personali presenti in azienda e quindi dovrà riguardare file e cartelle, database, posta elettronica, macchine virtuali e immagini di sistema. Di seguito riportiamo le principali modalità con cui il backup dei dati dovrebbe essere eseguito per rispettare la normativa GDPR:

 

  1. il backup deve essere eseguito con le seguenti modalità: almeno 3 backup, su almeno 2 sistemi differenti di cui 1 off-site. Si possono sfruttare i supporti FTPS/SFTP e cloud, Microsoft OneDrive e Azure, Google Drive, Amazon S3 e Dropbox. I servizi supportati sono tutti GDPR-compliant;
  2. per le macchine virtuali, consigliamo di utilizzare in combinazione sia il backup che la replica, in modo da beneficiare di una buona retention e della possibilità di ripristinare i dati in breve tempo;
  3. adottare un metodo di cifratura dei dati;
  4. effettuare un monitoraggio continuativo dello stato dei backup utilizzando le notifiche email o adottando servizi specifici per tale funzionalità;
  5. fare delle verifiche a campione sulla funzionalità di restore dei backup con cadenza regolare.

 

Il tuo attuale sistema di backup rispetta queste caratteristiche e condizioni?

 

Contattaci per maggiori informazioni e per verificare che il sistema di backup che utilizzi sia in regola con la normativa GDPR.