Data Retention: per quanto tempo devono essere conservati i dati?
Quando si progetta un sistema di backup occorre prendere in considerazione diversi aspetti e analizzare
Definire correttamente il tempo di conservazione del backup, la Data Retention, è fondamentale per garantire la disponibilità dei dati aziendali.
Quando si progetta un sistema di backup occorre prendere in considerazione diversi aspetti e analizzare due concetti fondamentali: i dati e il tempo. Un argomento importante che riguarda entrambi, sul quale abbiamo pensato di fare chiarezza, è la Data Retention.
Progetta un Data Protection & Availability Plan in 4 step:
scarica l’infografica
Per capire il significato corretto e l’importanza di questo tema occorre ricordarsi che il backup non è una attività di archiviazione fine a sé stessa ma piuttosto un’operazione al servizio della continuità operativa, un tassello fondamentale di quello che può essere definito come il Data Protection & Availability Plan.
Prima di iniziare ad archiviare è essenziale conoscere a fondo le necessità aziendali e la struttura del business, in modo da definire la politica di backup più adatta alle proprie esigenze. In questa fase di analisi bisogna assolutamente porsi cinque domande fondamentali:
Ed è proprio quest’ultima domanda che ci porta alla definizione della Data Retention: il termine indica il periodo di conservazione dei dati di backup, cioè il lasso di tempo durante il quale i dati sono salvati e ancora disponibili per un ripristino.
Partiamo da un punto fermo: non esiste una Data Retention perfetta per tutte le aziende. Ciascuna realtà deve necessariamente stabilire le proprie tempistiche in funzione del proprio business.
Per fare un esempio, un’azienda che eroga servizi di post-vendita per un anno sui prodotti venduti non può assolutamente programmare una Data Retention di soli 6 mesi sui dati relativi agli ordini perché, in caso di perdita dei dati, non disporrebbe più delle informazioni utili alla sua attività di customer care.
Al contrario, un’azienda che vende esclusivamente tramite e-commerce potrebbe non aver bisogno di un long retention backup (di fatto spesso molto costoso) del proprio sito, ma solo di poter ripristinare la versione più aggiornata nel minor tempo possibile.
Per definire al meglio la nostra Data Retention dobbiamo suddividere i nostri dati in tre categorie (Alta, Media, Bassa) secondo due scale: frequenza di aggiornamento e criticità. Ciò ci permetterà di ottenere una matrice che individuerà:
Esempio:
Utilizzando i risultati della matrice prodotta, configureremo quindi i nostri backup applicando una Data Retention di lungo periodo per i dati molto critici e aggiornati con frequenza. Potremo invece prevedere una Data Retention minore ad esempio per i dati poco aggiornati e poco critici.
Quando si parla di tempistiche di conservazione dei dati, è sempre necessario tenere in considerazione cosa prevede la legge. Di seguito vedremo come si esprimono normativa europea e normativa italiana in materia.
Nel definire la Data Retention dei dati aziendali, non dobbiamo mai ignorare quanto dettato in merito dalla normativa europea e da quella italiana, con particolare riferimento ai dati “personali”, ossia “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)” (art. 4 dell’EU General Data Protection Regulation). È chiaro che non tutti i “dati aziendali” sono anche “dati personali”, tuttavia questi ultimi sono certamente presenti nei nostri sistemi e anche in termini di Data Retention vanno trattati secondo la legge. Vediamo quindi brevemente cosa dicono le normative.
La vecchia Direttiva Europea 2006/24/CE
La Direttiva Europea 2006/24/CE del Parlamento Europeo e del Consiglio del 15 marzo 2006 riguardava la conservazione dei dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica (dati di conversazioni telefoniche, traffico telematico) accessibili al pubblico o di reti pubbliche di comunicazione, con lo scopo di garantirne la disponibilità a fini di indagine, accertamento e repressione di reati gravi.
Nonostante l’intento positivo del provvedimento (la Direttiva era stata adottata a seguito degli attentati di Londra e Madrid del 2004 e 2005), sia la Corte irlandese sia quella austriaca sollevarono questioni di legittimità dello stesso, tant’è che l’8 aprile 2014 la Direttiva venne dichiarata, dalla Corte di Giustizia europea, invalida e inefficiente fin dalla sua entrata in vigore, perché ritenuta una misura di sorveglianza ingiustificata e per la possibilità di accesso indiscriminato ai dati conservati da parte delle autorità.
Ciò detto, da allora agli Stati membri dell’UE non è stata più fornita alcuna direttiva in sostituzione. Allo stesso tempo, le norme interne agli Stati membri hanno mantenuto negli anni la propria efficacia.
Il Regolamento Generale sulla Protezione dei Dati (GDPR)
Il GDPR (EU General Data Protection Regulation), ossia il Regolamento Generale sulla Protezione dei Dati entrato in vigore a maggio del 2016, prevede all’art. 5 – come già faceva l’art. 11 del Codice per la Privacy – che i dati personali possano essere conservati “per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”. Si può quindi affermare che nel GDPR non vi è traccia di un’indicazione circa il “tempo standard” per il quale si possano conservare i dati.
Il titolare del trattamento dei dati è altresì tenuto, secondo l’art. 13 del GDPR, a informare gli interessati sul periodo di conservazione dei loro dati personali. Se ciò non fosse possibile, gli interessati hanno comunque il diritto di conoscere almeno i “criteri utilizzati per determinare tale periodo”.
La normativa italiana sulla Data Retention
Come detto, le norme interne in materia di conservazione dei dati non hanno mai perso di validità, ma è pur vero che un giudice ha comunque la facoltà di non applicare le norme interne se ritenute in contrasto con i principi stabiliti dall’UE.
Nella prassi, però, tali norme interne permangono valide fino a quando non è il legislatore a modificarle. Questo è quanto è successo in molti paesi europei, i cui legislatori hanno deciso di mantenere le proprie regole in materia pur andando queste in contrasto palese con i principi dettati dalla Corte EU.
Nel caso specifico italiano, in mancanza di un pronunciamento definitivo dell’UE, con la legge 167/2017 (confermata dal decreto 108/2018) l’Italia ha addirittura portato a 6 anni il periodo di Data Retention dei dati telefonici e telematici (la Russia lo ha, al contrario, ridotto a 6 mesi).
Si può quindi concludere che le norme europee e quelle italiane coesistono e che, nonostante le prime prevalgano sulle seconde, queste ultime continuano ad avere priorità fintanto che il legislatore non le modifichi per adattarle alla normativa europea o fintanto che un giudice non decida di non applicarle perché in contrasto con i principi dell’UE.
Quando si progetta un sistema di backup occorre prendere in considerazione diversi aspetti e analizzare
Nell’ambito di una più ampia strategia di Business Continuity Aziendale il reparto IT è chiamato
I dati sono stati definiti il nuovo petrolio, non c’è azienda od organizzazione che possa
Sappiamo tutti che non esiste più un’azienda in grado di operare senza una infrastruttura informatica.
Scopriamo insieme cosa sono i parametri RPO e RTO e perché sono imprescindibili nell’elaborazione di
Com’è noto, per backup si intende una copia di sicurezza di una parte o di
Business Continuity e Disaster Recovery: due approcci complementari al tema della data protection & availability.<br
In generale affidarsi a dei servizi significa godere dei vantaggi delle migliori tecnologie, senza però
Indipendentemente dal settore in cui opera la nostra azienda, quando si verifica un evento imprevisto
Chi non si è mai chiesto cosa potrebbe accadere se l’azienda in cui lavoriamo dovesse
Cookie | Durata | Descrizione |
---|---|---|
ASP.NET_SessionId | session | Issued by Microsoft's ASP.NET Application, this cookie stores session data during a user's website visit. |
cookielawinfo-checkbox-advertisement | 1 year | Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category . |
cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
CookieLawInfoConsent | 1 year | Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie. |
elementor | never | This cookie is used by the website's WordPress theme. It allows the website owner to implement or change the website's content in real-time. |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |
_GRECAPTCHA | 5 months 27 days | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
Cookie | Durata | Descrizione |
---|---|---|
__cf_bm | 30 minutes | This cookie, set by Cloudflare, is used to support Cloudflare Bot Management. |