GDPR: come il diritto all’oblio si ripercuote sui backup

Il Regolamento generale sulla protezione dei dati (RGPD) è una legge complessa e di conseguenza, alcuni elementi sembrano contraddirsi l’uno con l’altro.

Una di queste contraddizioni riguarda l’aspetto più noto del RGPD: il diritto alla cancellazione, conosciuto anche come “diritto all’oblio”, Art.17.

Questo diritto – uno degli otto sanciti dal RGPD – consente alle persone di richiedere che le organizzazioni rimuovano tutti i dati personali che li riguardano, se sussiste uno dei seguenti motivi:

  • L’organizzazione non ha più bisogno dei dati per lo scopo per cui l’informazione è stata originariamente raccolta e trattata;
  • L’individuo revoca il consenso;
  • L’individuo si oppone al trattamento dei dati e l’organizzazione non ha più alcun interesse legittimo prevalente per procedere all’elaborazione;
  • L’organizzazione ha raccolto i dati in modo illecito;
  • I dati devono essere cancellati per rispettare un obbligo legale; oppure
  • I dati sono stati elaborati in relazione all’offerta di servizi della società dell’informazione per un minore.

Sembra abbastanza semplice, ma in pratica le regole sono molto più complicate. Ci sono casi in cui le organizzazioni possono rifiutare la richiesta e ci sono molti punti interrogativi su cosa fare con i dati di backup.

Eliminazione dei backup

Quando gli individui esercitano il loro diritto all’oblio, potrebbero presumere che tutti i loro dati siano stati rimossi, inclusi quelli contenuti nei backup. Ma come forse già sai, può essere poco pratico andare alla ricerca dei dati nelle varie versioni di backup per cancellarli. Ci si aspetta che il diritto all’oblio venga esercitato regolarmente, quindi se si dovesse procedere con l’eliminazione dei backup, il rispetto di questa richiesta probabilmente diventerebbe il lavoro a tempo pieno di qualcuno.

Acronis, una società di software specializzata in backup e disaster recovery, afferma che la soluzione ideale è organizzare i backup in modo che ogni interessato abbia il proprio archivio. Tuttavia, ammette che “questo approccio rischia di essere poco pratico per molte aziende, dato che i dati personali di un individuo sono spesso distribuiti su più applicazioni, dispositivi e backup”.

Quindi, quali sono le alternative?

Secondo l’autorità di controllo francese, CNIL, le organizzazioni non devono eliminare i backup per esaudire una richiesta di cancellazione. Tuttavia, devono spiegare in modo chiaro all’interessato che i backup saranno conservati per un periodo di tempo specificato (delineato nel criterio di conservazione).

Se decidi di seguire questa strada, ci sono alcune cose che devi tenere a mente. In primis, altre autorità di controllo potrebbero avere una posizione in merito più severa. In secondo luogo, è necessario essere in grado di dimostrare che non è un compito pratico eliminare i dati di backup. Per lo meno, dovresti condurre una valutazione del rischio, una valutazione d’impatto sul business e una valutazione d’impatto sulla protezione dei dati per dimostrarlo. Dovresti inoltre documentare le politiche e le procedure per mantenere sicuri i dati di backup. Ciò include istruzioni sulla crittografia dei backup e su dove manterrai i dispositivi di backup.

Vuoi saperne di più?

Puoi trovare ulteriori informazioni sui diritti degli interessati sanciti dal RGPD e su come soddisfare tali requisiti leggendo il libro verde gratuito Regolamento Generale sulla Protezione dei Dati dell’UE – Guida alla Conformità. Scaricalo subito!

Leave a Reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.