La relazione della Commissione Europea sul GDPR a più di due anni dalla sua introduzione è moderatamente ottimistica. Lo strumento si è rivelato efficace e passibile di qualche aggiustamento. La Commissione, infatti, ha recepito una serie di indicazioni e suggerimenti e promette di lavorare al superamento di alcune criticità. Per esempio, un’applicazione più uniforme delle regole da parte degli Stati membri e un alleggerimento della complessità della disciplina.
Il Regolamento Generale sulla Protezione dei Dati (GDPR), insomma, si rivela solido e ha raccolto consensi anche al di fuori dei confini europei. Un Regolamento che non si cambia, se non in qualche dettaglio, a cui le aziende, bontà loro, non possono che adeguarsi.
Uno dei processi che, grazie al GDPR, ha registrato un’impennata di interesse da parte dei manager aziendali è certamente il disaster recovery. Sopratutto perché l’attivazione di un processo di disaster recovery fatto nel modo giusto è espressamente indicata come obbligatoria.
[Vuoi sapere tutto su come le norme del GDPR impattano sui processi di backup e di disaster recovery? Il prossimo 17 settembre non perdere la prima puntata di #start365 qui tutti i dettagli]
Le norme del GDPR che non puoi sottovalutare
In particolare, ci sono (almeno) quattro assiomi fondamentali inclusi nel regolamento che impattano direttamente nell’attività di cui vogliamo scrivere qui. Parliamo della localizzazione dei dati, dell’obbligo di segnalazione della violazione, della cancellazione dei dati su richiesta e, ovviamente, della loro massima protezione. In soldoni, il responsabile del trattamento deve avere ben chiaro dove sono i dati, deve proteggerli adeguatamente e deve essere in grado di ripristinarli, recuperarli o cancellarli in tempi brevi.
Vediamo, dunque, in dettaglio i punti cruciali nel contesto backup e disaster recovery e le misure necessarie a superare le criticità.
1. Localizzazione dei dati
È fondamentale sapere in che luogo del pianeta sono archiviati i dati aziendali. E, se per i dati su cloud ci si può affidare alle garanzie dei Cloud Provider Gdpr compliant, quelli seri che te lo specificano nel contratto, per lo storage secondario il consiglio è, evidentemente, di contare su un cloud privato italiano o il buon vecchio data center on premise.
2. Obbligo di notifica
L’obbligo di notifica a seguito di un data breach entro un massimo di 72 ore prevede uno storage secondario configurato con particolare attenzione. È necessario sapere esattamente e in breve tempo quali dati sono stati trafugati, e ciò impone un valido strumento di mirroring e logging che confronti quantità e tipologia dei dati circolanti prima e dopo l’attacco. Va da sé che uno storage secondario efficiente permette di ripartire presto e bene.
3. Diritto all’oblio
Anche nel caso in cui qualcuno richieda di esercitare il diritto alla cancellazione dei dati sui server aziendali, è fondamentale essere certi che il software di gestione del backup faccia bene il suo lavoro, ovvero cancelli, in fretta, tutti i dati di cui si richiede l’eliminazione.
4. Protezione dei dati
La massima protezione dei dati non è un optional, finalmente. E proteggerli significa soprattutto proteggerne l’accesso. Poiché gli hacker più temibili sono i dipendenti, o gli utenti che hanno accesso alle infrastrutture, ciò significa gestire al meglio le identità. Massima deve essere l’attenzione sui privilegi di accesso di tutti i dipendenti (a che dati possono accedere e perché) ma anche agli sviluppatori, a tutti i componenti del team It e ai fornitori esterni.
In definitiva, soprattutto in questa delicata fase di ripartenza, un processo di backup e disaster recovery di alto livello è d’obbligo. Il GDPR, e gli hacker, non fanno distinzione tra verticals e dimensioni aziendali: questo è un problema che riguarda tutti. L’emergenza sanitaria ha fatto decine di vittime, anche tra i dati aziendali, e non c’è più tempo per sottovalutare la questione.
Vuoi saperne di più? Partecipa a
#Start365 – 17 settembre
Così GDPR e privacy complicano la ripartenza nel cloud. Gli errori da evitare, i passi da fare subito!
Come fare il backup e il disaster recovery con Microsoft 365 evitando guai con il GDPR e la nuova privacy. La guida pratica, gli errori da evitare, i casi successo.
