Secondo la normativa italiana ed europea (GDPR) ci sono gli obblighi di legge imposti a chiunque abbia dati in forma digitale da gestire. In particolare le prescrizioni riguardano i dati personali e sensibili, entrambi molto frequenti e diffusi.
Normative Italiane
L’art 31 del D.lgs 196/2003 dice infatti:
I dati personali oggetto del trattamento sono custoditi e controllati […] in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale,…
Ma i chiari riferimenti all’adozione di misure specifiche per la memorizzazione preventiva (backup) dei dati non si concludono in questa norma di carattere generale. Infatti l’art. 34 comma 1-f del codice autorizza il trattamento con strumenti elettronici solo se sono previste una serie di misure minime di sicurezza tra cui l’adozione di procedure per la custodia di copie di sicurezza, il ripristino di disponibilità dei dati e dei sistemi.
Al semplice backup si aggiungono prescrizioni anche sul disaster recovery, con riferimento – per i dettagli tecnici – all’Allegato B al codice. L’art. 18 del documento impone che il salvataggio abbia almeno frequenza settimanale e l’art. 23 obbliga ad adottare misure di ripristino idonee a rendere i dati nuovamente accessibili nell’arco massimo di sette giorni dal disaster.
Normative Europee GDPR
REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
del 27 aprile 2016
relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)
Articolo 32
Sicurezza del trattamento
1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) |
la pseudonimizzazione e la cifratura dei dati personali; |
b) |
la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; |
c) |
la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; |
d) |
una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. |