Databack - Récupération de données
Richiedi un preventivo
IL BLOG

RGPD, PCA/PRA: le sfide del recupero dati

problemi-recupero-dati

Il recupero dei dati rappresenta una vera e propria sfida per le aziende. L’entrata in vigore del RGPD (Regolamento Generale sulla Protezione dei Dati) e le sfide poste dal BCP e dal DRP hanno posto il recupero dei dati al centro della governance dei sistemi informativi (IS). E da esso può dipendere l’esistenza stessa dell’azienda.

RGPD: obblighi legali e recupero dati

Il RGPD, il regolamento europeo sulla protezione dei dati personali, entrato in vigore il 25 maggio 2018, non è una direttiva ma ha forza di legge! In quanto tale, le sanzioni che la CNIL può comminare in caso di violazione possono arrivare fino a 20 milioni di euro o al 4% del fatturato dell’azienda.

Il campo di applicazione del GDPR non deve essere sottovalutato: per dati personali si intende qualsiasi informazione relativa a “una persona fisica che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online (…)”. (art. 4(1)). Le più piccole referenze dei clienti, le informazioni sulle risorse umane, i dati associati a un badge digitale, ecc. costituiscono quindi dati personali.

Per conformarsi al GDPR, le aziende devono quindi adottare tutte le misure necessarie per garantire il trattamento dei dati personali. Ciò include la “protezione contro il trattamento non autorizzato o illecito e contro la perdita, la distruzione o il danneggiamento accidentale” (art. 5(1)(f)). Oltre alla protezione dei dati, il GDPR richiede all’azienda di implementare “mezzi per ripristinare la disponibilità e l’accesso ai dati personali in tempi adeguati in caso di incidente fisico o tecnico” (art. 32(1)(c)).

Il recupero dei dati al centro dei piani di disaster recovery

Il recupero dei dati non è quindi una componente aneddotica del RGPD. Oltre alle disposizioni dell’articolo 32, il RGPD richiede alle aziende di notificare alla CNIL qualsiasi incidente che comporti una violazione dei dati personali. Questa dichiarazione obbligatoria deve, tra le altre cose, “descrivere le misure adottate o che si propone di adottare il responsabile del trattamento per porre rimedio alla violazione dei dati personali, comprese, se del caso, le misure per attenuare le eventuali conseguenze negative” (art. 33(3)(d)).

La riservatezza, l’integrità, la disponibilità e la resilienza dei dati, così come definite dal RGPD, hanno ora un impatto sulla politica di gestione del rischio di un’azienda. Inoltre condizionano lo sviluppo della BCP/ERP (Business Continuity Plan e Disaster Recovery Plan) e, ove applicabile, PRI e PCI (IT Continuity Plan e Disaster Recovery Plan).

La perdita di dati è infatti la conseguenza più ricorrente dei disastri che possono colpire un’azienda. Poiché l’obiettivo di un BCP/ERP è quello di consentire all’azienda di riprendersi o almeno di operare in modalità degradata in caso di disastro, la disponibilità dei dati rimane una questione prioritaria. Se da un lato è naturalmente consigliabile limitare l’impatto sul fatturato e sull’immagine del marchio di un’azienda, dall’altro viene ora redatto con l’obiettivo di limitare l’impatto legale.

Richiedi un preventivo gratuito
18 Giugno 2018
Torna al blog

elenco degli ultimi articoli

RESTA IN CONTATTO

ISCRIVITI ALLA NEWSLETTER

Comunicando il tuo indirizzo e-mail, accetti di ricevere la newsletter di Databack. Puoi iscriverti in qualsiasi momento grazie ai link di iscrizione presenti alla base dei contenuti diffusi. Puoi consultare la nostra politica di riservatezza per saperne di più.
Databack Linkedin