- Autore: Walter Della Mora
- Pubblicato il: 2 Nov 2021
- Aggiornato il: 21 Ago 2023
La conservazione dei dati personali vuole il cloud
Ai fini della conservazione dei dati personali il GDPR non fa alcuna differenza tra documenti cartacei e documenti digitali. Per entrambi propone le stesse linee guida con l’obiettivo di garantire:
- la pseudonimizzazione, ovvero la separazione tra i dati personali e le identità delle persone alle quali si riferiscono;
- la minimizzazione, ovvero la raccolta del minor quantitativo di dati possibile;
- la limitazione del trattamento, ovvero la conservazione dei dati per il tempo strettamente necessario a raggiungere le finalità per le quali sono stati raccolti;
- la cifratura dei dati personali, ovvero la codifica delle informazioni col fine di renderle incomprensibili a chi non possiede la chiave di lettura;
- la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
- la garanzia di un trattamento dei dati sicuro, verificabile periodicamente tramite una procedura atta a valutare l’efficacia delle misure tecniche e organizzative.
LE TECNICHE DI ARCHIVIAZIONE DEI DOCUMENTI
Abbiamo fatto un’analisi comparativa tra le seguenti tecniche di archiviazione documentale:
- archivio cartaceo, ospitato all’interno dell’azienda;
- archivio digitalizzato locale, ospitato all’interno dell’azienda con un’infrastruttura di rete tra una o più sedi;
- archivio digitalizzato in cloud.
Per ciascuna tecnica abbiamo valutando quanto è difficile aderire alle linee guida del regolamento privacy per quanto riguarda le seguenti caratteristiche:
- riservatezza
- integrità
- backup
- resilienza
- disponibilità
- verifica
Riservatezza
La riservatezza è la possibilità di limitare l’accesso alle informazioni ai soli soggetti autorizzati.
L’archivio cartaceo, generalmente chiuso a chiave, si dimostra inadeguato non appena il numero di utilizzatori supera le poche unità, oltre le quali è necessario l’impiego di un controllo degli accessi elettronico in quanto supervisionabile in modo migliore.
Per i sistemi digitalizzati l’obiettivo può essere raggiunto più facilmente utilizzando tecniche di accesso basate sui privilegi assegnati al personale addetto.
Integrità
L’integrità è la capacità dell’archivio di preservarsi in caso di eventi accidentali quali allagamenti, incendi, scariche atmosferiche, etc..
I sistemi ospitati in locale necessitano di misure di prevenzione adeguate che possono raggiungere costi importanti e hanno spese di manutenzione fisse. Se l’archivio è di modeste dimensioni il costo di adeguamento dell’infrastruttura non cambia di molto. Questo perché ciò che conta è il valore intrinseco dei dati che si vuole proteggere che non dipende dalla quantità ma dalla qualità dei dati stessi. Se si tratta di dati personali, inoltre, il fattore determinante è il grado di riservatezza e il livello di rischio che la loro perdita, diffusione o corruzione comporta per i diritti e le libertà dell’interessato.
Anche per i sistemi in cloud esistono tali costi, che ovviamente sono a carico del cloud provider. Il vantaggio però è che le loro strutture nascono per offrire agli utenti un grande fattore di protezione. Grazie all’economia di scala, inoltre, i costi vengono suddivisi tra tutti gli utenti in modo proporzionale.
Backup
Il backup è funzionale alla gestione degli eventi che possono compromettere la qualità dei dati.
Gli archivi cartacei presentano evidenti difficoltà per via degli alti costi di gestione legati al personale, alla carta, ai toner, alle fotocopiatrici e all’impiego di spazi dedicati.
Gli archivi digitali ospitati in locale e in cloud sono molto più efficienti e, con costi relativamente bassi, consentono di creare molto velocemente backup incrementali o totali.
Uno svantaggio che accomuna gli archivi locali, sia cartacei che digitali, è che per mettere in atto una buona strategia di backup è necessario che la copia debba risiedere in un luogo che non sia affetto dagli stessi rischi cui è sottoposto l’archivio di origine. Ciò comporta che l’azienda deve attrezzarsi affinché il backup sia dal punto di vista geografico sufficientemente lontano dall’originale. I cloud provider hanno generalmente una distribuzione sul territorio tale da agevolare la costituzione di backup con ridondanza geografica.
Resilienza
Il concetto si resilienza, applicato a un archivio documentale, riguarda la capacità di resistere, anche riadattandosi, agli eventi che possono minare la sua integrità e disponibilità. Si tratta prevalentemente di minacce collegate a tentativi di intrusione con il fine di esfiltrare dati, chiedere riscatti o rendere i servizi inefficienti o inaccessibili.
Questi attacchi si possono subire a prescindere dalla tecnica di archiviazione documentale adottata.
Anche in questo caso la tecnologia che permette di ottenere un miglior risultato è quella del cloud. I cloud provider costruiscono le loro infrastrutture con specifiche finalità di sicurezza e protezione. In questo modo forniscono a tutti i loro utenti un grado di sicurezza intrinseco.
Disponibilità
La disponibilità è la garanzia che l’archivio può dare nel consentire l’accesso alle informazioni.
L’archivio cartaceo è fortemente limitato dalla fisicità del supporto nel quale sono contenuti i dati. Due persone possono accedere allo stesso documento solo se si trovano contemporaneamente nello stesso luogo. In alternativa devono aver creato preventivamente delle copie. Nel caso dei dati personali questo va contro al principio di minimizzazione espresso nell’art.5 del GDPR.
Gli archivi digitali sono notevolmente avvantaggiati su questo fronte, anche se quelli locali hanno alcune difficoltà aggiuntive. Questo perché non tutte le aziende e non tutti i software sono attrezzati per gestire l’accesso sicuro delle informazioni dall’esterno. Sebbene le moderne tecnologie rendano questo passaggio più facile, sono comunque richieste competenze e tecnologie non sempre disponibili internamente.
I servizi in cloud dialogano nativamente tramite internet e generalmente sono predisposti per supportare connessioni multiple.
Verifica
Gli archivi cartacei, per loro natura, sono gestiti da persone. Questo porta inevitabilmente a una maggiore incidenza dell’errore umano. La tracciabilità delle operazioni di trattamento effettuate è più complessa e onerosa, pertanto spesso trascurata.
Con gli archivi digitali è possibile utilizzare elaboratori in grado di automatizzare alcuni processi e tracciare in pochi istanti tutte le informazioni necessarie per verificare in modo esaustivo la correttezza dei trattamenti effettuati.
Le nostre valutazioni in sintesi
La tabella seguente riepiloga sinteticamente i risultati delle nostre valutazioni.
Il risultato è evidente: le aziende che ancora utilizzano archivi cartacei, dovrebbero considerare l’avvio di un processo di dematerializzazione e digitalizzazione. Tra le tecnologie da adottare è preferibile quella del cloud in quanto consente di aderire più facilmente alle linee guida del GDPR.
COSA FARE PER SCEGLIERE LA STRATEGIA DI ARCHIVIAZIONE MIGLIORE
La maggior parte delle aziende – grandi, medie o piccole che siano – si ritrovano a gestire archivi ibridi, cioè composti da documenti sia cartacei che digitali, il che complica un po’ le cose.
Per evitare di perdere dati e di incorrere in violazioni ai diritti degli individui – e dunque essere inadempienti verso la normativa sulla privacy – le soluzioni migliori da adottare sono:
- affidarsi ai professionisti di archiviazione e gestione documentale affinché si prendano carico di tutte le procedure tecniche e operative garantendo, non solo il reperimento del documento in tempi brevissimi, ma anche l’archiviazione organizzata e la conservazione sicura;
- rivolgersi ai professionisti della privacy il cui mestiere è quello di informare e istruire titolari e responsabili circa la corretta modalità di raccolta, trattamento e conservazione dei dati personali, nonché consigliare gli strumenti tecnologici da utilizzare.
In caso di controlli da parte del Garante, occorre dimostrare che sono state adottate adeguate misure di sicurezza e che tutti i dati sono stati trattati in modo corretto. Ciò è importate, non solo per scongiurare pesanti sanzioni, ma anche per evitare richieste di risarcimento da parte degli interessati i cui dati siano stati compromessi per deterioramento, perdita o furto.
Ricordiamo dunque che una scorretta gestione della privacy può portare la propria azienda a conseguenze sgradevoli quali:
- la perdita di liquidità;
- danni reputazionali.
Questi effetti negativi possono essere scongiurati adottando quanto prima i giusti accorgimenti.
LA NOSTRA PROPOSTA
PersonalDOX è la piattaforma in cloud che abbiamo progettato per archiviare, organizzare e conservare i dati personali degli utenti in conformità alla normativa sulla privacy. Aderendo ai principi della privacy by design, offre alle aziende che trattano dati personali lo strumento ideale per gestire l’archivio in modo sicuro ed efficiente.
Se vuoi saperne di più, visita la pagina di PersonalDOX
Approfondimenti
Condividi:
Articoli collegati
L’informativa privacy
Il principale strumento per informare l’interessato al trattamento
La profilazione
Un puzzle fatto con i pezzi della nostra identità
Digitalizzazione e dematerializzazione degli archivi
La digitalizzazione dei documenti è un percorso che tutte le aziende dovranno intraprendere
Gamification e privacy
Il divertimento in azienda è positivo, attenzione però alla privacy
L’errore umano nella gestione della privacy
La causa principale delle violazioni dei dati è da imputare all’errore umano