Federica Battioli

La tutela dei dati e Disaster Recovery

Share on linkedin
Share on twitter
Share on facebook

La tutela dei dati personali è una pietra miliare per ogni azienda, a maggior ragione in un periodo di emergenza come quello attuale, dove i cambiamenti sono all’ordine del giorno e la vita sembra essere sottosopra.
Le Autorità nazionali ed europee si sono pronunciate in merito all’importanza del rispetto del GDPR (Regolamento UE n. 679/2016) con diversi pareri emanati nei primi mesi del 2020.
Il Garante per la protezione dei dati personali ritiene che le numerose deroghe al regime ordinario di gestione dei dati, previste dai recenti provvedimenti, si fondano su esigenze di sanità pubblica volte a contrastare la diffusione del COVID-19 e/o ricostruire la catena dei contagi e quindi risultano lecite, purché siano attuate nel rispetto dei principi di necessità, proporzionalità, adeguatezza, nonché del contenuto essenziale del diritto[1].

Necessario però, in tutte le proposte che vengono fatte, è guardarsi dal rischio di effetti irreversibili, garantendo che ogni misura suggerita e adottata sia limitata nel tempo, di portata minima, soggetta a un riesame periodico ed effettivo nonché a un’adeguata valutazione tecnica. La gestione dell’attuale crisi e la tutela dei diritti fondamentali dell’individuo, tra cui la privacy, devono andare a braccetto, garantendo uno il rispetto dell’altro.

Questa emergenza ha avuto grossi impatti sia sul singolo cittadino, sia sulle piccole, medie e grandi imprese. Oltre alla primaria esigenza di contrastare il virus dal punto di vista sanitario, tutti noi ci siamo ritrovati a dover affrontare dei cambiamenti radicali nel nostro modo di lavorare.

Le aziende, nei limiti del possibile, hanno adottato pratiche di smartworking che le hanno portate a rivedere tutto il proprio apparato privacy, dovendo garantire, soprattutto in questa situazione, la gestione dei dati e delle informazioni in modo legittimo, nel rispetto della normativa di riferimento.  
L’art. 32 co. 2 del Regolamento UE n. 679/2016 prevede che “nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati”. Le aziende devono mantenere “salda” la loro conformità a quanto disposto dal GDPR, a maggior ragione in uno stato di emergenza, seguendo delle regole base:

  1. Aggiornare il registro dei trattamenti a fronte di ogni modifica;
  2. Aggiornare l’esistente set documentale in modo accurato: informative (artt.13-14 GDPR), nomine (art. 28 GDPR), policy;
  3. Effettuare una DPIA (Valutazione d’impatto sulla protezione dei dati) in caso di esecuzione di una nuova attività che potrebbe presentare rischi ai diritti e alle libertà delle persone (art.35 GDPR).

A fronte della necessità di non perdersi e non commettere passi falsi in questa situazione di incertezza, numerose aziende hanno incominciato ad implementare pratiche di Business Continuity (BC) e di Disaster Recovery (DR), quali strumenti fondamentali per garantire il mantenimento delle performance aziendali.

Riferimenti normativi per BC e DR sono rappresentati dagli standard di gestione ISO 22301:2019 (Societal security – Business continuity management systems – Requirements) e ISO 27001:2017 (Tecnologie informatiche – Tecniche di sicurezza- Sistemi di gestione della sicurezza dell’informazione).

In questo articolo ci occuperemo nello specifico del Disaster Recovery e successivamente affronteremo i suoi legami con la Business Continuity.

 Il Disaster Recovery è l’approccio tecnologico/logistico e organizzativo che un’azienda adotta per ripristinare sistemi, dati e infrastrutture necessarie all’erogazione del proprio business, a fronte di gravi emergenze che ne intacchino la regolare attività. L’adozione di pratiche di DR si basa su una valutazione del rischio e su una attenta analisi di potenziali impatti sulla società (business impact analysis o BIA), che permettono di comprendere i sistemi più critici per il business, individuando strumenti che ne permettano il funzionamento anche in situazioni di emergenza.

Ai sensi della ISO 27001, all’interno degli obiettivi di controllo e controlli di riferimento contenuti nell’appendice normativa A, sono definiti nella sezione 17 tre controlli che un’azienda dovrebbe implementare per garantire la continuità della sicurezza delle informazioni. Quest’ultima deve essere integrata nei sistemi per la gestione della continuità operativa dell’organizzazione.

  1. Determinare i requisiti per la sicurezza delle informazioni e per la continuità della gestione della sicurezza in situazioni avverse;
  2. Stabilire, documentare, attuare e mantenere processi, procedure e controlli per garantire la continuità della sicurezza delle informazioni in situazioni avverse;
  3. Verificare e valutare la validità ed efficacia dei controlli di continuità della sicurezza delle informazioni attuati.

Ulteriore controllo previsto è quello di assicurare la disponibilità delle strutture per l’elaborazione delle informazioni.

Il DC garantisce all’azienda solo in modo parziale di far fronte ai rischi citati dall’art. 32 del GDPR (distruzione, perdita, modifica, divulgazione non autorizzata o accesso in modo accidentale o illegale) attraverso l’adozione di strumenti informatici e tecnologici quali sistemi di back up, generatori, antivirus, ridondanza di firewall etc. La BC invece è in grado di offrire maggiori garanzie sia per affrontare i rischi di cui sopra sia per l’erogazione dei prodotti e servizi.

Nel prossimo articolo approfondiremmo il concetto della continuità operativo (Business Continuity) e il punto di contatto con lo smartworking.

[1] Audizione informale, in videoconferenza, del Presidente del Garante per la protezione dei dati personali sull’uso delle nuove tecnologie e della rete per contrastare l’emergenza epidemiologica da Coronavirus – 8 aprile 2020.

Vuoi saperne di più?

Scopri tutti gli approfondimenti tematici disponibili. Approfittane subito!

Vuoi saperne di più sulla compliance?

Nell’area riservata trovi tanti vantaggi esclusivi
Federica Battioli

Federica Battioli

Federica Battioli, laureata in Giurisprudenza, master di II livello in Diritto penale dell’Impresa (MiDPI), è Consultant presso PK Consulting dove si occupa di conformità legislativa. Ha condotto attività in diversi settori merceologici e ricopre l’incarico di segreteria OdV presso numerose aziende e società. È auditor qualificato per i sistemi di gestione.

Iscriviti a Portale 231

Il portale di riferimento della compliance in Italia

Iscriviti alla Newsletter

Maggio: 2020
L M M G V S D
 123
45678910
11121314151617
18192021222324
25262728293031

Articoli correlati

Mettiti alla prova!
Quanto ne sai
di compliance?

Fai il test per scoprirlo subito

Torna su