La privacy per tutti. Consapevole, facile, sicura.
Conservazione dei dati personali raccoglitori documenti digitalizzati computer cloud

La conservazione dei dati personali vuole il cloud

Una comparazione tra le varie tecnologie disponibili

Ai fini della conservazione dei dati personali il GDPR non fa alcuna differenza tra documenti cartacei e documenti digitali. Per entrambi propone le stesse linee guida con l’obiettivo di garantire:

  • la pseudonimizzazione, ovvero la separazione tra i dati personali e le identità delle persone alle quali si riferiscono;
  • la minimizzazione, ovvero la raccolta del minor quantitativo di dati possibile;
  • la limitazione del trattamento, ovvero la conservazione dei dati per il tempo strettamente necessario a raggiungere le finalità per le quali sono stati raccolti;
  • la cifratura dei dati personali, ovvero la codifica delle informazioni col fine di renderle incomprensibili a chi non possiede la chiave di lettura;
  • la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  • la garanzia di un trattamento dei dati sicuro, verificabile periodicamente tramite una procedura atta a valutare l’efficacia delle misure tecniche e organizzative.

LE TECNICHE DI ARCHIVIAZIONE DEI DOCUMENTI

Abbiamo fatto un’analisi comparativa tra le seguenti tecniche di archiviazione documentale:

  • archivio cartaceo, ospitato all’interno dell’azienda;
  • archivio digitalizzato locale, ospitato all’interno dell’azienda con un’infrastruttura di rete tra una o più sedi;
  • archivio digitalizzato in cloud.

Per ciascuna tecnica abbiamo valutando quanto è difficile aderire alle linee guida del regolamento privacy per quanto riguarda le seguenti caratteristiche:

  • riservatezza
  • integrità
  • backup
  • resilienza
  • disponibilità
  • verifica

Riservatezza

La riservatezza è la possibilità di limitare l’accesso alle informazioni ai soli soggetti autorizzati.

L’archivio cartaceo, generalmente chiuso a chiave, si dimostra inadeguato non appena il numero di utilizzatori supera le poche unità, oltre le quali è necessario l’impiego di un controllo degli accessi elettronico in quanto supervisionabile in modo migliore.

Per i sistemi digitalizzati l’obiettivo può essere raggiunto più facilmente utilizzando tecniche di accesso basate sui privilegi assegnati al personale addetto.

Integrità

L’integrità è la capacità dell’archivio di preservarsi in caso di eventi accidentali quali allagamenti, incendi, scariche atmosferiche, etc.. 

I sistemi ospitati in locale necessitano di misure di prevenzione adeguate che possono raggiungere costi importanti e hanno spese di manutenzione fisse. Se l’archivio è di modeste dimensioni il costo di adeguamento dell’infrastruttura non cambia di molto. Questo perché ciò che conta è il valore intrinseco dei dati che si vuole proteggere che non dipende dalla quantità ma dalla qualità dei dati stessi. Se si tratta di dati personali, inoltre, il fattore determinante è il grado di riservatezza e il livello di rischio che la loro perdita, diffusione o corruzione comporta per i diritti e le libertà dell’interessato.

Anche per i sistemi in cloud esistono tali costi, che ovviamente sono a carico del cloud provider. Il vantaggio però è che le loro strutture nascono per offrire agli utenti un grande fattore di protezione. Grazie all’economia di scala, inoltre, i costi vengono suddivisi tra tutti gli utenti in modo proporzionale.

Backup

Il backup è funzionale alla gestione degli eventi che possono compromettere la qualità dei dati.

Gli archivi cartacei presentano evidenti difficoltà per via degli alti costi di gestione legati al personale, alla carta, ai toner, alle fotocopiatrici e all’impiego di spazi dedicati.

Gli archivi digitali ospitati in locale e in cloud sono molto più efficienti e, con costi relativamente bassi, consentono di creare molto velocemente backup incrementali o totali.

Uno svantaggio che accomuna gli archivi locali, sia cartacei che digitali, è che per mettere in atto una buona strategia di backup è necessario che la copia debba risiedere in un luogo che non sia affetto dagli stessi rischi cui è sottoposto l’archivio di origine. Ciò comporta che l’azienda deve attrezzarsi affinché il backup sia dal punto di vista geografico sufficientemente lontano dall’originale. I cloud provider hanno generalmente una distribuzione sul territorio tale da agevolare la costituzione di backup con ridondanza geografica.

Resilienza

Il concetto si resilienza, applicato a un archivio documentale, riguarda la capacità di resistere, anche riadattandosi, agli eventi che possono minare la sua integrità e disponibilità. Si tratta prevalentemente di minacce collegate a tentativi di intrusione con il fine di esfiltrare dati, chiedere riscatti o rendere i servizi inefficienti o inaccessibili.

Questi attacchi si possono subire a prescindere dalla tecnica di archiviazione documentale adottata.

Anche in questo caso la tecnologia che permette di ottenere un miglior risultato è quella del cloud. I cloud provider costruiscono le loro infrastrutture con specifiche finalità di sicurezza e protezione. In questo modo forniscono a tutti i loro utenti un grado di sicurezza intrinseco.

Disponibilità

La disponibilità è la garanzia che l’archivio può dare nel consentire l’accesso alle informazioni.

L’archivio cartaceo è fortemente limitato dalla fisicità del supporto nel quale sono contenuti i dati. Due persone possono accedere allo stesso documento solo se si trovano contemporaneamente nello stesso luogo. In alternativa devono aver creato preventivamente delle copie. Nel caso dei dati personali questo va contro al principio di minimizzazione espresso nell’art.5 del GDPR.

Gli archivi digitali sono notevolmente avvantaggiati su questo fronte, anche se quelli locali hanno alcune difficoltà aggiuntive. Questo perché non tutte le aziende e non tutti i software sono attrezzati per gestire l’accesso sicuro delle informazioni dall’esterno. Sebbene le moderne tecnologie rendano questo passaggio più facile, sono comunque richieste competenze e tecnologie non sempre disponibili internamente.
I servizi in cloud dialogano nativamente tramite internet e generalmente sono predisposti per supportare connessioni multiple.

Verifica

Gli archivi cartacei, per loro natura, sono gestiti da persone. Questo porta inevitabilmente a una maggiore incidenza dell’errore umano. La tracciabilità delle operazioni di trattamento effettuate è più complessa e onerosa, pertanto spesso trascurata.

Con gli archivi digitali è possibile utilizzare elaboratori in grado di automatizzare alcuni processi e tracciare in pochi istanti tutte le informazioni necessarie per verificare in modo esaustivo la correttezza dei trattamenti effettuati.

Le nostre valutazioni in sintesi

La tabella seguente riepiloga sinteticamente i risultati delle nostre valutazioni.

Il risultato è evidente: le aziende che ancora utilizzano archivi cartacei, dovrebbero considerare l’avvio di un processo di dematerializzazione e digitalizzazione. Tra le tecnologie da adottare è preferibile quella del cloud in quanto consente di aderire più facilmente alle linee guida del GDPR.

COSA FARE PER SCEGLIERE LA STRATEGIA DI ARCHIVIAZIONE MIGLIORE

La maggior parte delle aziende – grandi, medie o piccole che siano – si ritrovano a gestire archivi ibridi, cioè composti da documenti sia cartacei che digitali, il che complica un po’ le cose.

Per evitare di perdere dati e di incorrere in violazioni ai diritti degli individui – e dunque essere inadempienti verso la normativa sulla privacy – le soluzioni migliori da adottare sono:

  • affidarsi ai professionisti di archiviazione e gestione documentale affinché si prendano carico di tutte le procedure tecniche e operative garantendo, non solo il reperimento del documento in tempi brevissimi, ma anche l’archiviazione organizzata e la conservazione sicura;
  • rivolgersi ai professionisti della privacy il cui mestiere è quello di informare e istruire titolari e responsabili circa la corretta modalità di raccolta, trattamento e conservazione dei dati personali, nonché consigliare gli strumenti tecnologici da utilizzare.

In caso di controlli da parte del Garante, occorre dimostrare che sono state adottate adeguate misure di sicurezza e che tutti i dati sono stati trattati in modo corretto. Ciò è importate, non solo per scongiurare pesanti sanzioni, ma anche per evitare richieste di risarcimento da parte degli interessati i cui dati siano stati compromessi per deterioramento, perdita o furto.

Ricordiamo dunque che una scorretta gestione della privacy può portare la propria azienda a conseguenze sgradevoli quali:

  • la perdita di liquidità;
  • danni reputazionali.

Questi effetti negativi possono essere scongiurati adottando quanto prima i giusti accorgimenti. 

LA NOSTRA PROPOSTA

PersonalDOX è la piattaforma in cloud che abbiamo progettato per archiviare, organizzare e conservare i dati personali degli utenti in conformità alla normativa sulla privacy. Aderendo ai principi della privacy by design, offre alle aziende che trattano dati personali lo strumento ideale per gestire l’archivio in modo sicuro ed efficiente.

👉 Se vuoi saperne di più, visita la pagina di PersonalDOX

Approfondimenti

Resilienza, contro gli attacchi informatici: linee guida per le aziende

Minimizzazione dei dati e organizzazione documenti

Condividi:

Facebook
LinkedIn

Articoli collegati

Taggato