Il Regolamento Europeo 2016/679 è molto chiaro riguardo alla nuova figura specificata all’art.28 “Responsabile del Trattamento”. È un dovere ed una responsabilità per il Titolare del Trattamento individuare e nominare chi riveste questo ruolo all’interno del suo sistema Privacy.
Ma questo basta? Purtroppo NO.
Ce lo ha ricordato poco più di 24h fa quanto accaduto a Strasburgo in uno dei più grandi datacenter europei di OVH: un’intera ala è andata in fiamme con conseguente perdita di tutti i dati (qui l’articolo completo).
“Molti clienti di OVH, stando a quello che si può leggere su Twitter, erano convinti che OVH stesso, come servizio, prevedesse di fatto un recovery plan per i clienti, ovvero che esista da qualche parte una copia dei dati presenti sui server andati a fuoco. Non è così: i server sono come fogli di carta, una volta bruciati tutto quello che c’era scritto è andato perso per sempre. Spettava al cliente fare la fotocopia, oppure pagare per farla.”
(OVH e il datacenter in fiamme. Perché può succedere e perché i dati sono persi per sempre di Roberto Pezzali - 11/03/2021 www.dday.it)
Quella citata è stata una tragedia per molti ma dovremmo vederla anche come grande opportunità per migliorare la nostra consapevolezza in ambito di privacy e sicurezza dei dati.
La parola “Cloud” è impropriamente utilizzata al giorno d’oggi: sempre più spesso i servizi acquistati con questo nome, soprattutto quelli a basso costo/gratuiti, non sono delocalizzati e duplicati su più server.
I datacenter hanno un recovery plan ma serve a loro per ripristinare l'operatività il più velocemente possibile, non per recuperare i dati del cliente. Sta a quest’ultimo, se non ha acquistato i servizi adatti, provvedere ad un recovery plan.
Il Titolare del trattamento dovrebbe sempre tenere a mente che le misure di sicurezza adottate devono risultare idonee ad assicurare un rischio residuale basso, partendo dall’applicare la regola base: le copie di backup vanno sempre tenute almeno su un’altra posizione.
Affidare i dati ad un Responsabile esterno del trattamento non solleva il Titolare dalle sue responsabilità, al contrario: è un suo dovere selezionare con attenzione a chi affidare i dati.
Grazie a un pool di professionisti QSE, Studio di consulenza aziendale situato a Reggio Emilia, è in grado di offrire diversi servizi in ambito privacy nei differenti ambiti e dà la possibilità alle aziende di avere un unico referente e offrire soluzioni personalizzate per la sicurezza della tua azienda.