Il Back-Up è una pratica essenziale e necessaria in azienda, per cui chiunque si doti di una politica di Disaster Recovery o mette in atto le Misure di Sicurezza come previsto dal GDPR 679/2016, il Regolamento Europeo Generale sulla Protezione dei Dati Personali, deve fare i conti con questa attività dedicata al salvataggio dei dati.
Tuttavia, la domanda che può venire in mente alla maggior parte delle persone è se, per assicurare tutte le specificità descritte dal GDPR, basta una sola copia dei dati di archivio. In altri termini, non basta copiare i file e incollarli da un’altra parte?
Altra domanda da porsi è se la stessa basti a scomputare le responsabilità che potrebbero derivare da una non corretta applicazione delle misure di sicurezza previste dal Regolamento in caso di Violazione sui Dati Personali, il c. d. Data Breach descritto all’art. 33, con le procedure da adottare in caso di questo evento.
Per molti potrebbe apparire come un dubbio ragionevole, e la risposta che ognuno si potrebbe dare potrebbe essere positiva in tal senso, purché possibilmente si appuri che la copia venga verificata file per file e magari ne venga registrato in un log l’avvenuta attività.
Naturalmente, in questo caso, si potrebbe descrivere un’attività, per così dire, a un primo approccio superficiale, su database non impegnativi dal punto di vista quali-quantitativo dei dati personali contenuti. La stessa però, non caratterizza il valore intrinseco della procedura Back-Up, che per sua stessa definizione deve descrivere un processo veloce, automatizzato e che mitighi i rischi per il Titolare, per i dati personali degli interessati eventualmente coinvolti, e che serva a non aggravare le responsabilità previste dal GDPR.
Attivare in generale una semplice procedura di copiatura con input manuale tutti i giorni infatti, o, in alcuni casi, più volte al giorno, può comportare una serie di attività che potrebbero rivelarsi inutili e onerose in termini di tempi e costi. Ad esempio, copiare alcuni file di Word o alcune foto su una chiavetta USB, per poi aprirli su un altro computer, è un’operazione facilissima e gratuita, nonché una soluzione ideale quando riguarda solo alcuni file semplici, non sensibili né pesanti, da archiviare sporadicamente; ma questa, per quanto detto prima, non può essere considerata una corretta procedura Back-Up, bensì una mera copia manuale dei file.
Il GDPR non fa riferimento direttamente al c. d. “Back-up” dei dati personali, ma esso fa parte delle misure universalmente riconosciute tra le misure di sicurezza adottate dalle aziende. Però, più specificatamente, rientra tra le previsioni del Capo IV Sez 2 descriventi gli Obblighi del Titolare per la Sicurezza del Trattamento, ove all’art 32 si prevede:
- al comma 1, che il Titolare…. mette in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio;
- alla a) dello stesso comma l’uso di specifiche tecniche di crittografia tra cui la … pseudonimizzazione e la cifratura dei dati personali;
- alla lett. b).. la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- alla c).. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
- alla d).. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento
- Infine, al comma 2, nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati
Da quanto analizzato viene da sé che per implementare delle misure tecniche e organizzative indirizzate a ottenere un servizio di Back-Up efficace e rispondente ai parametri di sicurezza e protezione prima descritti non basta limitarsi a effettuare una semplice operazione di copiatura dei file.
Di seguito si elencano diversi validi motivi per non contare su procedure approssimative di back-up e invece utilizzare un servizio professionale allo scopo di proteggere i dati aziendali e renderli sicuri da eventuali violazioni:
- Limiti della Copia di File di WindowsTM. La copia di file assicurata dal sistema operativo Windows ha una grande limitazione, non si possono copiare file mentre risultano aperti da altre applicazioni, quindi, molto spesso, i processi di copia manuali possono interrompersi o risultare incompleti a una verifica (se e quando verrà effettuata). Appositi software di Back-Up invece sono progettati per fare una sola attività, il Back-Up appunto, e lo fanno a prescindere se i file sono aperti o in uso, effettuandone allo stesso tempo verifiche e compressioni per una migliore usabilità;
- Errori Umani. È noto che gli errori più frequenti (e più pericolosi) in ambito IT sono quelli derivanti dal fattore umano. Un software di Back-Up (degno di tale nome) è in grado di automatizzare tutte le operazioni di salvataggio dei dati, eliminando la manualità dal processo di Back-Up e facendo risparmiare tempo agli operatori che, altrimenti, dovrebbero far partire personalmente la procedura attendendo, se possibile, l’avvenuto buon fine. Essendo tali procedure, specie sui big data, lunghe e complesse, tale operazione può apparire essenzialmente onerosa. E ciò che è automatico è intrinsecamente più sicuro di un processo manuale, perché viene superato il fattore umano;
- Limiti di Spazio per il Back-Up. Una procedura self made deve tenere conto dei limiti di spazio imposti dalla procedura adottata, mentre le tecnologie di Back-Up dedicate fanno risparmiare spazio perché normalmente applicano una compattazione durante la copia, cosa che favorisce un risparmio di spazio sulla destinazione. La compressione integrata nei software di Back-Up, infatti, permette di ridurre notevolmente lo spazio occupato dai Back-Up, evitando i consueti errori limitanti accompagnati da avvisi del tipo “spazio su disco insufficiente”. Inoltre, alcune tecnologie prevedono che la procedura di Back-Up si effettui tramiti sistemi in cloud utilizzando quindi spazi messi a disposizione da terze parti, non appesantendo pertanto i limiti di spazio disponibili;
- Verifica del Buon Fine dell’Operazione. Se si eseguono operazioni di salvataggio di dati con input manuale, non si può mai essere realmente sicuri che la copia sia andata a buon fine o meno, nel senso che non saranno sicuramente rilevabili specifici messaggi di errore o di successo dell’operazione. Questa specifica attenzione ha una sua importante rilevanza per assicurare l’integrità, la disponibilità e la resilienza dei sistemi di ripristino dei dati in caso di incidente fisico o tecnico o violazione previsti dal Regolamento. Se si utilizza un software di Back-Up, invece, si può contare su tecnologie evolute che permettono di ricevere notifica di alert e report completi in tempo reale in caso del verificarsi di criticità. Molto spesso infatti capita che, psicologicamente sicuri di aver in funzione il sistema autonomo di Back-Up da molto tempo, ci si rende conto che questo non funziona in modo ottimale da tempo solo in caso di necessità di rispristino a causa di un evento distruttivo, purtroppo perdendo in modo irreversibile i dati personali dal momento del malfunzionamento. Un software qualitativo dedicato può sicuramente rappresentare una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure adottate al fine di garantire la sicurezza del trattamento;
- Ripristino Tempestivo della Disponibilità dei Dati. Molto spesso, a seconda della procedura che si adotta in una azienda per la copiatura dei dati potrebbe capitare che, sia a causa di quanto già prima specificato, sia per la necessità di un intervento manuale dell’operatore tecnico incaricato, le tempistiche di ripristino dei dati sottoposti a copiatura in caso di incidente sui dati possano risultare molto lunghi e, alle volte, inefficaci, ciò a discapito:
- della necessità degli interessati di accedere ai propri dati personali;
- dell’interesse dell’azienda a ripristinare l’operatività nel più breve tempo possibile;
Una veloce ed efficace procedura di ripristino dei dati in una logica di Disaster Recovery dipende quindi molto della tecnologia e dalle procedure adottate dall’azienda, che debbono essere tarate in modo da assicurare la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
- Tecniche di cifratura dei dati. Se si utilizza un software di Back-Up professionale, i dati saranno sottoposti a tecniche di compressione e contemporaneamente di cifratura, allo scopo di assicurare la riservatezza e, al tempo stesso, l’impossibilità dell’accesso al dato ai soggetti non autorizzati anche in caso di violazione. Tale misura tecnica di sicurezza inoltre permette di alleggerire gli onerosi adempimenti a carico del Titolare del Trattamento in caso di Data Breach ai sensi del successivo art. 33 del GDPR che descrive le procedure da adottare in caso di violazione dei dati personali. Infatti, oltre agli obblighi di notifica all’Autorità Garante della Protezione dei Dati Personali entro le 72 ore successive al momento in cui si è venuti a conoscenza dell’incidente sulla sicurezza in cui si è verificata la violazione sui dati personali, se lo stesso è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del Trattamento deve comunicare la violazione anche agli interessati senza ingiustificato ritardo.
Tale adempimento obbligatorio, talvolta richiesto dalla stessa Autorità di controllo ai sensi dell’art. 34 comma 4, potrebbe comportare una procedura molto onerosa: si pensi a quel caso in cui il database inficiato contenga centinaia di migliaia di dati personali sensibili di altrettanti interessati (ad es: carte di credito, documenti di identità, dati sanitari, dati giudiziari, etc.) la cui violazione potrebbe mettere a rischio i loro diritti e le loro libertà fondamentali, e tutti loro debbono essere avvisati dei rischi che tale violazione potrebbe comportare sui loro dati, significherebbe proceduralizzare centinaia di migliaia di comunicazioni, da comprovare verso l’Autorità.
Da quanto emerso si può dedurre l’importanza fondamentale di dotare le proprie aziende di una politica di Back-Up attenta, ragionata e professionale, allo scopo di poter far fronte ad una situazione complessa di perdita dati o di Data Breach. Non bisogna anche sottovalutare l’impatto di una violazione anche nell’immagine di mercato alla propria company’s reputation, che potrebbe pregiudicare anche i propri rapporti commerciali a causa di un Data Breach che abbia comportato una perdita indiscriminata di dati aziendali e degli interessati coinvolti.
Implementare una policy di Disaster Recovery che preveda, tra le misure di sicurezza, un ripristino repentino degli asset di dati della propria azienda o studio risulta oggi indispensabile. Il Back-Up è pratica oramai diffusa alla portata di chiunque, ma si ritiene che, in ogni caso di gestione professionale aziendale, sia importantissimo evitare il self made e rivolgersi a consulenti professionisti del settore, con esperienza pluriennale in tale ambito, che possano analizzare le necessità specifiche, i rischi e le strategie da adottare, allo scopo di progettare un sistema di Back-Up studiato sulle esigenze dell’azienda e che permetta allo stesso modo la compliance al GDPR.
Massimo Bruno