GDPR e backup dei dati personali
Il GDPR affronta indirettamente il tema della gestione dei sistemi di backup, dettando alcuni principi ai quali titolari e responsabili del trattamento dei dati devono attenersi.
1. Al momento della raccolta dei dati personali il titolare è tenuto a fornire all’interessato informazioni circa “il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo” (articolo 13, § 2, GDPR).
Quest’obbligo è correlato al principio di minimizzazione dei dati (articolo 5, § 1, lettera c) e di limitazione della conservazione (articolo 5, § 1, lettera e), GDPR).
Il periodo di conservazione può dipendere da prescrizioni di legge (ad esempio: 72 mesi per gli operatori telefonici – articolo 24, legge n. 167/2017), da indicazioni del Garante per la protezione dei dati personali (ad esempio: 15 anni per un’agenzia immobiliare che effettui attività di marketing e di profilazione – provvedimento del 30 giugno 2016) o può essere suggerito da linee guida determinate da organismi di categoria (ad esempio: Consiglio Nazionale Forense per gli avvocati).
2. Fin dalla progettazione – privacy by design – e per impostazione predefinita dei sistemi di raccolta e trattamento dei dati – privacy by default – il titolare e il responsabile del trattamento devono adottare “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative” (articolo 32, § 1, GDPR).
I punti b) e c) implicano l’adozione di misure tecniche capaci di assicurare su base permanente la sicurezza e la resilienza dei servizi di trattamento, nonché il ripristino tempestivo della disponibilità e dell’accesso dei dati personali; in altre parole, titolare e responsabile del trattamento devono poter contare su un efficiente sistema di backup.
3. Occorre, inoltre, verificare che ogni fase del trattamento dei dati avvenga nel rispetto del GDPR e dei diritti degli interessati: bisognerà valutare dunque anche la correttezza delle procedure di recupero dei dati e l’esito ultimo del backup.
Il titolare e il responsabile del trattamento dovranno valutare se il trattamento dei dati recuperati possa ancora considerarsi lecito e corretto ai sensi del GDPR successivamente al ripristino – ciò, in particolare, se nel frattempo l’interessato abbia esercitato uno o più diritti in relazione ai propri dati trattati (ad esempio: diritto di rettifica o di cancellazione del dato; di limitazione o di opposizione al trattamento), così da garantirne l’attualità.
In ogni caso, (anche) le procedure di backup devono allinearsi agli obblighi specificati dal citato articolo 32 del GDPR e garantire che il trattamento dei dati avvenga in conformità all’informativa fornita ai sensi degli articoli 13 e 14 del GDPR e nel rispetto dei diritti dell’interessato.
--
Quali sono i principali adempimenti previsti dal GDPR? Perché è importante adeguarsi al GDPR? Come si verifica se il trattamento dei dati personali è conforme al GDPR? Diamo risposta a questi e ad altri quesiti in tema di compliance al GDPR nella seguente videoguida:
--
Sempre in tema di privacy e GDPR:
PRIVACY E GDPR NEGLI STUDI PROFESSIONALI (E LEGALI) – PARTE 2 – DPO E VALUTAZIONE D'IMPATTO
PRIVACY E GDPR NEGLI STUDI PROFESSIONALI (E LEGALI) – PARTE 1 – RUOLI PRINCIPALI
GDPR: L'AVVOCATO PUÒ USARE DROPBOX?
--
Lascia un commento
Il tuo indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contraddistinti dal simbolo *