Christophe Bertrand, VP Product Marketing di Arcserve, spiega quale sia il miglior modo di procedere in vista della prossima entrata in vigore del GDPR, a partire dal backup.
Mancano meno di 3 mesi all’attuazione del temuto GDPR (General Data Protection Regulation) e la situazione in Europa è ancora molto confusa. L’Italia e altri Paesi europei non sono ancora pronti e la strada verso l’adeguamento sembra lunga e tortuosa.
Ricordiamo velocemente gli obiettivi del GDPR, cioè armonizzare i 28 stati dell’Unione Europea (UE) e incoraggiare le aziende a essere più affidabili, trasparenti e responsabili dei dati che conservano.
Ogni organizzazione, infatti, che archivia o processa informazioni personali dei residenti UE, sarà tenuta a conformarsi alla nuova legislazione, indipendentemente dalla sede dell’azienda. Inoltre, ogni residente UE avrà il diritto di controllare quali dei propri dati vengono conservati e da chi. Troppo spesso, infatti, gli utenti hanno poca o nessuna conoscenza dell’ampiezza e dei metodi in cui i loro dati sono registrati, analizzati e condivisi.
Questa combinazione esplosiva tra la raccolta sempre più diffusa di informazioni personali e l’incremento di incidenti legati alla loro perdita ha portato quindi alla definizione della nuova normativa.
Per quanto riguarda quindi una corretta gestione, qual è il miglior modo di procedere? Arcserve richiama l’attenzione sulla necessità di protezione e sulla prevenzione della perdita di dati: le infrastrutture IT devono appoggiarsi alle tecnologie più avanzate per evitare incidenti.
Il GDPR richiede una data governance potenziata per quanto riguarda il backup e l’archiviazione. I tradizionali prodotti di backup e archiviazione puntano principalmente a risolvere i problemi di gestione delle informazioni individuali e per questo sono carenti nel garantire il rispetto completo della normativa. Arcserve ha adottato un approccio unico, fornendo un robusto set di soluzioni che soddisfa le esigenze più ampie.
Un esteso processo richiede di definire in cosa consistono i dati personali in ogni azienda. La definizione è piuttosto ampia e include posta elettronica, indirizzi email e altri dati che vengono raccolti non solo come parte delle strategie di marketing e di business, ma anche nell’ambito dei normali processi di backup e protezione.
Il GDPR richiede che i proprietari diano il consenso nel momento in cui i dati sono raccolti. In sostanza, le copie di backup e le email contengono dati personali che costituiscono un’ulteriore questione: le aziende devono gestire tutte le copie di backup e le email archiviate secondo le norme del GDPR. Le copie di backup sono fatte per proteggere i dati personali offsite in caso di disastro. È piuttosto normale che le organizzazioni abbiano una dozzina o più copie di ogni backup.
Se si conservano dati di backup di abitanti dell’Unione Europea, il backup deve essere nell’Unione Europea ed eventuali copie di lavoro, su nastro o nel cloud, dovrebbero rimanere nella UE, a meno che il cliente non abbia dato il consenso alla conservazione all’esterno.
Le aziende che archiviano le email devono fare molta attenzione alle norme del GDPR. È pratica comune che negli archivi email sia conservata posta di anni: per motivazioni di business, requisiti normativi e legali. Nel caso in cui l’utente tolga il consenso, l’amministratore deve avere a disposizione gli strumenti standard forniti dalla soluzione di archiviazione per identificare le email ed eliminarle dall’archivio. I log dell’attività sono indispensabili per conservare la prova della distruzione in caso di audit.
Con l’attuale tecnologia non c’è modo di eliminare le informazioni personali dal backup, indipendentemente dal vendor. È consentito tenere i dati nel proprio backup, anche se l’individuo ha esercitato il diritto di essere cancellato, ma non si ha il diritto di fare il restore di quei dati (a meno che non ci sia una motivazione legale, ad esempio una causa civile).
L’adesione al GDPR prevede che le informazioni conservate in copie di backup siano segnate come eliminate e non possano essere rispristinate se l’utente nega il consenso.
In caso un ripristino includesse dati personali che dovrebbero essere cancellati, dovranno essere eliminati nuovamente. In generale i dati, compresi i backup, devono essere protetti da violazione, ad esempio con la crittografia.
Arcserve fornisce queste funzionalità da grande azienda, senza la complessità spesso associata alle soluzioni enterprise di protezione IT. I team più piccoli e sovraccarichi di lavoro possono salvaguardare i dati in cloud, in postazioni virtuali e fisiche, proteggendoli da e per qualsiasi destinazione, configurando e gestendo tutti gli aspetti della protezione attraverso un’unica e semplice console utente.
Uno dei principali requisiti da rispettare, è che “il controllore deve essere responsabile, ed essere in grado di dimostrare, il rispetto dei principi”. Da una prospettiva di compliance, regolari test sul sistema di backup e recovery e reporting sulla protezione dati sono un buon modo per il Data Protection Officer di dimostrare il rispetto della norma e l’efficace protezione dei dati.
I team incaricati di gestire dati di backup ed email hanno bisogno di tool molto potenti, ma anche facili da utilizzare, che consentano loro di identificare rapidamente le informazioni e rimuoverle dai sistemi.
Arcserve Unified Data Protection garantisce le funzionalità necessarie per dimostrare la rispondenza ai principi del GDPR, compresi backup e recovery da una console centralizzata, recupero granulare con la possibilità di escludere file e una gamma completa di funzionalità di tracking e reporting della compliance. Nel caso in cui un utente neghi il suo consenso, l’amministratore può facilmente identificare e rimuovere le email personali archiviate con strumenti standard, assicurando in questo modo la compliance alla GDPR ed evitando potenziali multe e sanzioni.