Indietro

Il GDPR affronta indirettamente il tema della gestione dei sistemi di backup, dettando alcuni principi ai quali titolari e responsabili del trattamento dei dati devono attenersi.

1. Al momento della raccolta dei dati personali il titolare è tenuto a fornire all’interessato informazioni circa “il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo” (articolo 13, § 2, GDPR).

Quest’obbligo è correlato al principio di minimizzazione dei dati (articolo 5, § 1, lettera c) e di limitazione della conservazione (articolo 5, § 1, lettera e), GDPR).

Il periodo di conservazione può dipendere da prescrizioni di legge (ad esempio: 72 mesi per gli operatori telefonici – articolo 24, legge n. 167/2017), da indicazioni del Garante per la protezione dei dati personali (ad esempio: 15 anni per un’agenzia immobiliare che effettui attività di marketing e di profilazione – provvedimento del 30 giugno 2016) o può essere suggerito da linee guida determinate da organismi di categoria (ad esempio: Consiglio Nazionale Forense per gli avvocati).

2. Fin dalla progettazione – privacy by design – e per impostazione predefinita dei sistemi di raccolta e trattamento dei dati – privacy by default – il titolare e il responsabile del trattamento devono adottare “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative” (articolo 32, § 1, GDPR).

I punti b) e c) implicano l’adozione di misure tecniche capaci di assicurare su base permanente la sicurezza e la resilienza dei servizi di trattamento, nonché il ripristino tempestivo della disponibilità e dell’accesso dei dati personali; in altre parole, titolare e responsabile del trattamento devono poter contare su un efficiente sistema di backup.

3. Occorre, inoltre, verificare che ogni fase del trattamento dei dati avvenga nel rispetto del GDPR e dei diritti degli interessati: bisognerà valutare dunque anche la correttezza delle procedure di recupero dei dati e l’esito ultimo del backup.

Il titolare e il responsabile del trattamento dovranno valutare se il trattamento dei dati recuperati possa ancora considerarsi lecito e corretto ai sensi del GDPR successivamente al ripristino – ciò, in particolare, se nel frattempo l’interessato abbia esercitato uno o più diritti in relazione ai propri dati trattati (ad esempio: diritto di rettifica o di cancellazione del dato; di limitazione o di opposizione al trattamento), così da garantirne l’attualità.

In ogni caso, (anche) le procedure di backup devono allinearsi agli obblighi specificati dal citato articolo 32 del GDPR e garantire che il trattamento dei dati avvenga in conformità all’informativa fornita ai sensi degli articoli 13 e 14 del GDPR e nel rispetto dei diritti dell’interessato.

--

Quali sono i principali adempimenti previsti dal GDPR? Perché è importante adeguarsi al GDPR? Come si verifica se il trattamento dei dati personali è conforme al GDPR? Diamo risposta a questi e ad altri quesiti in tema di compliance al GDPR nella seguente videoguida:

CONSULENZA PRIVACY E GDPR

--

Sempre in tema di privacy e GDPR:

PRIVACY E GDPR NEGLI STUDI PROFESSIONALI (E LEGALI) – PARTE 2 – DPO E VALUTAZIONE D'IMPATTO

PRIVACY E GDPR NEGLI STUDI PROFESSIONALI (E LEGALI) – PARTE 1 – RUOLI PRINCIPALI

GDPR: L'AVVOCATO PUÒ USARE DROPBOX?

--

 

Non ci sono ancora commenti: commenta per primo

Lascia un commento

Il tuo indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contraddistinti dal simbolo *

Inviando confermo il consenso al trattamento dei dati personali che ho inserito nel modulo disciplinato dalla Privacy Policy