Gli MSP ed i fornitori di servizi IT dovrebbero coinvolgere attivamente i propri clienti in merito alla loro strategia di backup e al potenziale impatto che potrebbe avere sulla compliance al regolamento generale sulla protezione dei dati (GDPR) dell’UE. L’attenzione del GDPR sulla protezione dei dati consente a te e ai tuoi clienti di cambiare il modo in cui si progetta il trattamento dei dati e il modo in cui è necessario eseguire il backup e impostare criteri di conservazione, inclusa la capacità di facilitare qualsiasi richiesta di dati. È importante avere queste conversazioni prima che la legge entri in vigore a maggio.

Ecco alcuni argomenti che possono aprire la discussione e potenzialmente portare a una soluzione migliore e più conforme. Questo articolo è stato scritto presupponendo che si stiano elaborando dati personali dell’UE.

1. Stai eseguendo inutilmente il backup di “dati morti”?

Molte organizzazioni eseguono backup giornalieri del sistema completo come best practice, ma se il backup non è sufficientemente intelligente per determinare i file che non sono più necessari (come i file di aggiornamento di Windows applicati), il sistema potrebbe eseguire il backup dei dati che non sono più necessari. Un’altra area di interesse è quando varie unità condivise sul server contengono una moltitudine di file non critici. Entrambe queste cose possono comportare l’uso non necessario di tempo, larghezza di banda e spazio di archiviazione. Per ambienti multi-server di grandi dimensioni, potrebbe esserci l’opportunità di eseguire una serie di processi di pulizia automatizzati per massimizzare l’efficienza del backup e ridurre le dimensioni dei backup giornalieri.

2. Puoi migliorare la procedura di backup?

Anche nel 2018, molte aziende fanno molto affidamento sull’uomo per partecipare al processo di backup. Alcune aziende potrebbero richiedere a un dipendente di inserire un nastro o portare il supporto di backup a casa come un “backup offsite”. A meno che il programma di backup non codifichi i dati, tenere presente che il backup nativo di Windows non è crittografato né compresso. Il tuo cliente è potenzialmente a rischio di esporre i dati personali se i backup vengono persi o rubati. Se ciò si verifica e sei il responsabile del trattamento di tali dati, potresti doverlo segnalare in ottemperanza al GDPR. Sia tu che il tuo cliente potreste dover pagare multe. La soluzione più elegante è un backup locale crittografato combinato con un backup ospitato che crittografa i dati sia in transito che a riposo.

3. Come si faciliterà una richiesta di accesso ai dati di un soggetto interessato secondo il GDPR con i propri backup?

Uno dei diritti fondamentali degli interessati è che possono richiedere l’accesso ai propri dati in qualsiasi momento. Ovviamente, se perdi i loro dati o non riesci ad accedervi, soddisfare una richiesta di accesso sarà impossibile. Si prega di notare che gli interessati hanno diritti aggiuntivi, come cancellazione, portabilità, ecc., in relazione ai loro dati. Mentre qui ci occupiamo solo del diritto di accesso, dovresti considerare questi altri diritti quando crei i tuoi [sistemi di backup].

Facilitare una richiesta di accesso ai dati è forse una delle maggiori preoccupazioni dei programmi di backup in uso oggi. Alcuni tipi di file in determinate località e determinati database possono contenere dati personali. Ad esempio, i file PST di Outlook che si trovano sulle workstation di solito contengono un’abbondanza di dati personali. Inoltre, i database dei salari dei dipendenti, i sistemi di gestione delle relazioni con i clienti, le applicazioni di contabilità e fatturazione e i file di registro del sistema rivolti al cliente devono essere considerati alla luce dei diritti di accesso per i soggetti interessati contenuti nel GDPR.

Per soddisfare le richieste, è necessario riflettere su come strutturare i backup dei dati di un cliente in modo da poter facilitare le richieste di accesso. Una richiesta di accesso può essere abbastanza facile da soddifare utilizzando strumenti di ricerca di terze parti su sistemi live. Tuttavia, se la ricerca potrebbe essere dirompente per le operazioni aziendali, potrebbe essere necessario eseguirla su un backup o un host virtualizzato.

Considerate le seguenti aree in cui è probabile che vengano trovati dati personali:

  • Database di fatturazione: poiché si tratta di un record aziendale di transazioni finanziarie, potrebbe essere necessario conservare tutto per sette o più anni. Il periodo di conservazione del backup del database di fatturazione deve essere comunicato al cliente e allineato ai requisiti normativi o governativi.

  • Database di supporto tecnico: le transazioni nel database possono essere fornite su richiesta di accesso per oggetto. Tuttavia, potrebbe essere ancora necessario conservare i dati nei backup per un periodo di tempo. Dovresti divulgare i tuoi periodi di conservazione per i dati di supporto tecnico al cliente.

  • Database di marketing: il periodo di conservazione del backup del database di marketing deve essere comunicato al cliente. Il periodo di conservazione dovrebbe essere abbreviato per facilitare la rimozione tempestiva delle informazioni dei soggetti interessati.

  • Corrispondenza e-mail: potrebbe essere un processo arduo esaminare e accedere a tutte le e-mail con le informazioni relative all’entità dei dati e redigere i dati personali di altre persone interessate dalla corrispondenza e-mail al fine di rispondere prontamente a questa richiesta.

Chiaramente, le diverse strategie di conservazione dei backup dei dati sovrascrivono le policy e le configurazioni di backup differenziali svolgeranno un ruolo fondamentale nel determinare quali informazioni vengono sottoposte a backup, in che modo viene eseguito il backup e per quanto tempo il backup viene mantenuto.

Gli MSP e i fornitori IT dovranno lavorare a stretto contatto con i propri clienti per determinare la strategia di backup corretta utilizzata e il criterio di conservazione del backup corretto per poter soddisfare le richieste dei soggetti dei dati in GDPR.

Questo documento è fornito solo a scopo informativo e non deve essere considerato come consulenza legale o per determinare come il Regolamento generale sulla protezione dei dati (GDPR) può essere applicato a voi e alla vostra organizzazione. Ti incoraggiamo a collaborare con un professionista legalmente qualificato per discutere di GDPR, come si applica alla tua organizzazione e il modo migliore per garantire la conformità. SolarWinds MSP non fornisce alcuna garanzia, esplicita o implicita, o si assume alcuna responsabilità legale per le informazioni contenute nel presente documento, inclusa l’accuratezza, la completezza o l’utilità di qualsiasi informazione. 

I marchi, i marchi di servizio e i loghi SolarWinds e SolarWinds MSP sono di proprietà esclusiva di SolarWinds MSP UK Ltd. o delle sue affiliate. Tutti gli altri marchi sono di proprietà dei rispettivi proprietari.