{"id":6780,"date":"2018-05-22T08:14:00","date_gmt":"2018-05-22T06:14:00","guid":{"rendered":"https:\/\/www.cyberfero.com\/?p=6780"},"modified":"2020-05-28T00:20:40","modified_gmt":"2020-05-27T22:20:40","slug":"considerazioni-gdpr-infrastruttura-di-backup-e-archiviazione","status":"publish","type":"post","link":"https:\/\/www.cyberfero.com\/it\/considerazioni-gdpr-infrastruttura-di-backup-e-archiviazione\/","title":{"rendered":"Considerazioni sulla conformita’ al regolamento generale sulla protezione dei dati (GDPR) per l\u2019infrastruttura di backup e archiviazione"},"content":{"rendered":"

Le aziende e gli enti pubblici con sede nell\u2019Unione Europea (UE) hanno ormai sentito certamente parlare del nuovo regolamento generale UE sulla protezione dei dati<\/a> (GDPR<\/a>), una serie di norme in materia di privacy che entrera’ in vigore il 25 maggio 2018. Ci\u00f2 che forse non \u00e8 immediatamente evidente per chi ha la sede al di fuori della UE \u00e8 che questo nuovo regime normativo si applica a tutte le aziende globali che hanno relazioni commerciali con la UE e con i clienti UE online.<\/strong><\/p>\n

Se hai clienti o partner che operano all\u2019interno dei confini della UE, \u00e8 bene che inizi subito ad informarti sul GDPR e ad adottare in fretta provvedimenti che consentano alla tua azienda di garantire la conformita’ al regolamento, o viceversa prepararti a sostenere pesanti sanzioni pecuniarie che potrebbero avere un impatto negativo sulla capacita’ della tua azienda di svolgere la sua attivit\u00e0 nella UE in modo redditizio.<\/p>\n

Immagina di essere multato con una sanzione pecuniaria di 10 milioni di euro o del 2% del tuo fatturato globale annuo, a seconda di quale sia il maggiore, per la mancata conformit\u00e0 al GDPR.<\/strong><\/p>\n

L\u2019obiettivo principale del GDPR \u00e8 proteggere i diritti di propriet\u00e0 individuale dei cittadini UE e, rispetto alla precedente legislazione UE sulla privacy, la nuova legislazione amplia sensibilmente la definizione di cio’ che costituisce i dati personali e privati fino a includere non solo la documentazione finanziaria, della pubblica amministrazione e medica ma anche le informazioni di natura genetica, culturale e sociale. Con il GDPR le aziende devono ottenere il consenso esplicito di una persona prima di poter utilizzarne i dati personali e devono altres\u00ec onorare il loro “diritto all\u2019oblio”, inteso come il diritto ad avere i propri dati personali eliminati dall\u2019azienda che li detiene, su richiesta.<\/p>\n

Le aziende sono anche tenute a soddisfare diversi altri requisiti per dimostrare la propria conformita’ continua al GDPR, nominando una persona responsabile delle questioni GDPR per l\u2019azienda (il cosiddetto “responsabile della protezione dei dati”), segnalando qualsiasi incidente di violazione della sicurezza e archiviando i dati personali all\u2019interno dei confini fisici della UE. Quest\u2019ultima prescrizione rispecchia la preoccupazione della UE per il fatto che gli altri paesi al di fuori della UE possano non disporre di standard altrettanto elevati per la privacy dei dati dei cittadini e che i dati archiviati al di fuori della UE siano maggiormente a rischio di vigilanza da parte di agenzie governative di spionaggio e criminali.<\/p>\n

 <\/p>\n

Comprensione del GDPR attraverso la lente della Sarbanes-Oxley (SOX)<\/strong><\/h2>\n

Per i professionisti IT di una certa generazione, le sfide presentate dalla conformit\u00e0 al GDPR potrebbero riportare alla memoria la Sarbanes-Oxley Act (SOX) degli Stati Uniti dei primi anni 2000. Come il GDPR, la SOX era un nuovo rigido regime normativo imposto sulle aziende di ogni tipo e dimensione. Bench\u00e9 fosse stato imposto unilateralmente dagli Stati Uniti per le aziende attive all\u2019interno dei confini federali, riguardava un mercato talmente esteso che anche le aziende di tutto il mondo ne sono state interessate. Come ha fatto la UE con il GDPR, gli Stati Uniti avevano ideato una tabella di marcia aggressiva per la conformit\u00e0 e ne hanno assicurato l\u2019applicazione con consistenti sanzioni pecuniarie. E proprio come sta succedendo per il GDPR, la SOX ha generato molta confusione e ansia tra le aziende sotto la sua lente d\u2019ingrandimento, specie per quanto riguarda i costi della conformit\u00e0.<\/p>\n

Per altri versi invece, i professionisti IT nel 2017 e 2018 hanno vita assai pi\u00f9 facile rispetto ai loro omologhi degli inizi del XXI secolo. Ad esempio, oggi le aziende hanno a disposizione una tecnologia pi\u00f9 efficace per supportare i requisiti di segnalazione e per dimostrare alle autorit\u00e0 di avere messo in atto le politiche, i controlli e le procedure richiesti a supporto della conformit\u00e0 GDPR. I quadri di controllo di governance, gestione del rischio e conformit\u00e0 si sono sensibilmente evoluti negli ultimi 10 anni, come pure la disciplina della gestione del ciclo di vita delle politiche. Grazie, in parte, a normative come la SOX e la Direttiva UE 1995 sulla protezione dei dati, le aziende hanno una maggiore padronanza della valutazione dell\u2019impatto sulla privacy e della governance dell\u2019accesso ai dati. Oggi sono disponibili strumenti sensibilmente migliorati e maggiormente automatizzati per il monitoraggio, la segnalazione e la mitigazione della violazione dei dati.<\/p>\n

Ma anche il mondo ha subito un\u2019evoluzione dai tempi della SOX e in modi che complicano la conformit\u00e0 GDPR L\u2019archiviazione dei dati ha subito un\u2019accelerazione straordinaria in termini di velocit\u00e0, volume, diversit\u00e0 dei media (compreso lo storage cloud) e complessit\u00e0.<\/p>\n

L\u2019universo delle minacce alla sicurezza IT dei dati da parte di criminali e aggressori istituzionali \u00e8 a sua volta diventato infinitamente pi\u00f9 sofisticato e minaccioso.<\/strong><\/p>\n

Le implicazioni della conformit\u00e0 GDPR interessano la valutazione dell\u2019impatto sulla privacy, la governance dell\u2019accesso ai dati e le notifiche e la risoluzione delle violazioni dei dati, tutti argomenti che non verranno trattati in questa sede. Questo documento si concentra invece alla conformit\u00e0 GDPR intesa specificamente nel suo legame con lo storage sicuro e con la protezione dei dati attivi, comprese archiviazione ed eliminazione dei dati.<\/p>\n

 <\/p>\n

Terminologia generale del GDPR<\/strong><\/h2>\n

Per comprendere in che modo il GDPR si lega all\u2019archiviazione e alla protezione dei dati, \u00e8 utile assimilare la seguente terminologia di base:<\/p>\n