In informatica con il termine backup si indica la replicazione, su un qualunque supporto di memorizzazione, di materiale informativo archiviato nella memoria di massa dei computer, siano essi personal computer, workstation o server, ma pure home computer e smartphone, al fine di prevenire la perdita definitiva dei dati in caso di eventi malevoli accidentali o intenzionali. Si tratta dunque di una misura di ridondanza fisica dei dati, tipica delle procedure di disaster recovery.

Nelle aziende il tipo di backup e la relativa periodicità sono solitamente regolati da un’apposita procedura aziendale soggetta a verifica periodica e ad altre procedure che comportano un intervento manuale. Il responsabile della sicurezza è tenuto ad annotare i controlli periodici e gli interventi sui sistemi. I supporti su cui viene effettuato il backup normalmente devono essere di tipo e marca approvati nella procedura ed è necessario che siano periodicamente verificati e sostituiti. Devono inoltre essere conservati in accordo con le politiche di sicurezza aziendale, per esempio, ma non solo, per questioni legate alla privacy.

 

Il cosiddetto piano di backup (programmato) consiste nella definizione di cosa (dischi, database, cartelle, utenti, macchine, volumi, ecc.) salvare, frequenza, ora di avvio, supporto e percorso di archiviazione, tipologia di backup (completo, differenziale, incrementale), modalità di compressione, tipo di log e messaggistica da esporre, tipo di verifica integrità, e molte altre opzioni a seconda della complessità del sistema.

Sono quindi necessari un software e uno o più supporti hardware che garantiscano l’integrità, la disponibilità dei dati salvati.

Si riporta quanto indicato dal Garante Privacy quali misure minime da adottare.

 

3. L’odierno schema di Linee guida alla luce del parere del Garante del 2011.

 

Da un’analisi dell’attuale schema di Linee guida in parallelo con quello precedente, emerge che sostanzialmente il nuovo testo accoglie le condizioni e le raccomandazioni adottate dal Garante nel parere del 20 ottobre 2011.

 

In particolare, rilevano i seguenti aspetti.

3.1. Politiche di backup.

Per quanto riguarda le “politiche di backup”, nell’Appendice A (nella versione precedente § 4.5), si prevede che al fine di ottemperare a regole specificamente indicate e di semplificare i processi di gestione, le specifiche scelte organizzative e di processo devono essere rappresentate all’interno del Piano di continuità operativa (PCO) e, per la parte di propria competenza, nel Piano di DR, avendo cura di rendere allineati i dati nei sopra citati documenti.

Nella precedente versione (§ 4.5) il riferimento era ai soli documenti programmatici per la sicurezza e al riguardo il Garante, nel parere, aveva richiesto che, dal momento che non tutti i titolari del trattamento erano tenuti alla redazione del DPS (cfr. art. 34, comma 1-bis del Codice, all’epoca in vigore), la sede più idonea per documentare le scelte anche implementative in materia di procedure per il salvataggio periodico dei dati fosse proprio il Piano sulla continuità operativa e, in quell’ambito, il Piano per il DR, che devono invece essere obbligatoriamente redatti da tutte le pp. aa.. La nuova formulazione delle Linee guida si adegua alla condizione del Garante, anche se, per altro verso, dovrà essere espunto il riferimento al DPS, nel frattempo soppresso (v. avanti, par. 4).

 

3.2. Conservazione dei dati.

Per quanto riguarda il periodo di conservazione dei dati di backup, sempre nell’Appendice A (nella vecchia versione § 4.5.3), si stabilisce che i salvataggi devono avere un “periodo di ritenzione”, passato il quale vengono eliminati; tale periodo deve essere commisurato alle finalità della conservazione dell’informazione (dei dati, delle applicazioni e dei processi) e deve essere precisamente indicato in tutti i documenti interessati (Piano di Continuità Operativa (PCO); Piano di DR (PDR)). Nella precedente versione del provvedimento, si prevedevano, invece, periodi di conservazione anche illimitati e il Garante aveva ritenuto tale previsione non conforme al principio di finalità nel trattamento di dati personali (cfr. art. 11, comma 1, lett. b) ed e), del Codice).

Analogamente, ancora nell’Appendice A (“Archiviazioni”) si prevede che tutti o parte dei dati salvati siano oggetto di archiviazione su dispositivi che ne preservano l’integrità per periodi commisurati alle finalità di conservazione delle informazioni precisamente indicati nei documenti interessati (DPS, PCO, PDR), prevedendo le misure di conservazione relative al mantenimento dell’efficiente funzionalità del sistema informativo. Ai fini delle politiche di archiviazione storico documentale, le pp. aa. si dovranno attenere a quanto definito nell’ambito del “Manuale di Conservazione” che ne contiene le regole e i tempi. Nella versione precedente del provvedimento (§ 4.5.7), si prevedeva l’archiviazione periodica di tutti o parte dei dati su dispositivi che ne preservassero l’integrità per lunghi periodi e il Garante aveva rilevato nel parere che anche per tale conservazione fosse necessario individuare termini definiti, distinguendo le misure necessarie al mantenimento dell’efficiente funzionalità del sistema informativo e alla protezione dei dati in esso trattati dagli accorgimenti preordinati, invece, a realizzare forme di archiviazione storico-documentale. La nuova formulazione si adegua al parere.

 

3.3. Tecniche di cifratura.

Per quanto riguarda l’utilizzo di tecniche di cifratura, le Linee guida stabiliscono che tali tecniche non devono pregiudicare la disponibilità dei dati in caso di necessità, e che, pertanto, deve essere assicurata a tale scopo la compatibilità tecnologica dei supporti, dei formati di registrazione, degli strumenti crittografici e degli apparati di lettura dei dati per tutta la durata della conservazione del dato (Appendice A – “Ubicazioni”). Tali precisazioni e garanzie erano state espressamente richieste dal Garante nel parere.

 

3.4. Servizi cloud.

Un altro aspetto in ordine al quale sono state recepite le indicazioni rese dall’Autorità nel parere del 2011 riguarda l’utilizzo di servizi cloud per la realizzazione del PCO e di DR, che implichino il trasferimento di dati (par. 4.3.2.2 e 6.5; nella precedente versione § 5.3.2.3). Al riguardo l’odierno schema dopo aver precisato che in relazione alla natura particolare dei servizi cloud, la p. a. deve considerare la possibile localizzazione della infrastruttura geograficamente distribuita, individua gli strumenti e le clausole da adottare per soluzioni cloud che implichino il trasferimento dei dati (con rinvio alla normativa comunitaria e ai provvedimenti del Garante).

In conformità ad una condizione prevista nel precedente parere, l’odierno schema di provvedimento prevede che il fornitore indichi “con apposita dichiarazione resa in sede contrattuale, l’esatta localizzazione, o le esatte localizzazioni dei dati gestiti”.
Questo specifico aspetto è di estrema importanza.

Solo attraverso tale previsione, infatti, il titolare del trattamento è in condizione di valutare se questa particolare modalità di realizzazione del servizio rispetti effettivamente la normativa in materia di protezione dei dati personali e segnatamente l’articolo 45 del Codice, che vieta il trasferimento “anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all’Unione europea”, qualora “l’ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato”, a tal fine valutandosi anche “le modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati e le misure di sicurezza”. Inoltre, considerato che le legislazioni, anche in materia di protezione dei dati, possono essere molto diverse nei Paesi terzi e non garantire livelli di protezione adeguati, il nuovo § 6.5 prevede la necessità di agire contrattualmente, applicando delle clausole specifiche elaborate dalla Commissione Europea nei contratti di fornitura del servizio. Le predette clausole, effettive dal 15 maggio 2010, trasferiscono parte delle responsabilità sul trattamento dati a chi effettivamente tratta i dati. Considerato che l’attività di outsourcing può essere subappaltata anche più volte, nell’ambito del medesimo servizio, deve comunque essere garantita chiarezza su chi sia il responsabile per la sicurezza dei dati.

Sempre nel medesimo paragrafo, in conformità ad una raccomandazione prevista nel precedente parere che richiedeva di valutare l’opportunità di inserire un riferimento al documento del Garante “Cloud computing: indicazioni per l’utilizzo consapevole dei servizi“, si segnala l’importanza di consultare anche il predetto documento nonché la miniguida “Cloud Computing. – Proteggere i dati per non cadere dalle nuvole”, pubblicata dal Garante nel maggio del 2012.

Con riferimento all’Appendice D (“Specificazioni sugli strumenti giuridici ed operativi per l’acquisizione dei servizi di CO/DR”), ed in particolare alle indicazioni per l’elaborazione delle clausole contrattuali per regolamentare i servizi e le soluzioni di CO/DR (D.2), nell’ambito del servizio di copia e allineamento dei dati (nella precedente versione § 6.3.1) si precisa, in conformità ad una raccomandazione prevista nel precedente parere del Garante, “l’importanza di osservare i provvedimenti fra cui il provvedimento “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministrazione di sistema” del 27 novembre 2008″.

 

3.5 Strumenti per l’autovalutazione.

All’interno del Capitolo 4 dedicato alle soluzioni di DR, si disciplinano, tra le altre cose, gli strumenti per l’autovalutazione cui è tenuta ogni amministrazione per analizzare le criticità. In particolare, la stima sulle criticità deve essere svolta secondo tre direttrici: la direttrice del servizio, la direttrice dell’organizzazione e la direttrice della tecnologia, nell’ambito delle quali s’individuano specifici indicatori ai fini della valutazione (cc. dd. criteri di stima). Con riferimento alla direttrice del servizio i criteri sono, tra gli altri, il tipo di dati trattati, la possibilità di recuperare la mancata acquisizione dei dati e la necessità di recuperare i dati non acquisiti. Per quanto riguarda, invece, la direttrice dell’organizzazione, rilevano fra le varie ipotesi il numero dei “responsabili privacy” e il numero dei trattamenti censiti.

Nella precedente versione delle Linee guida (Appendice C) si prevedeva all’interno del criterio “tipologia dei dati trattati” una serie di classi di dati (amministrativi, tecnici, anagrafici semplici, personali sensibili, sanitari, giudiziari) cui era attribuito un “peso specifico” diverso. Nel precedente parere del Garante, il sistema in questione era stato oggetto di una raccomandazione che non solo suggeriva l’utilizzo di una corretta terminologia, ma anche la modifica delle classi di dati nonché del relativo “peso specifico”. L’odierno provvedimento non individua i singoli parametri né gli attribuisce un peso specifico; ove dovessero essere ripristinati, è opportuno che si tenga conto delle raccomandazioni del Garante.”

 

Dopo molti anni di attività ed esperienze unitamente alla formazione costante del nostro personale siamo in grado di offrire soluzioni semplici e complesse sia per macchine reali che per macchine virtuali.