BLOG.ERREVI.COM

Data retention: cos’è e come funziona

Quando si progetta un sistema di backup occorre prendere in considerazione diversi aspetti e analizzare due concetti fondamentali: i dati e il tempo. Un argomento importante che riguarda entrambi, sul quale abbiamo pensato di fare chiarezza, è la Data Retention.

Progetta un Data Protection & Availability Plan in 4 step:
scarica l’infografica

Per capire il significato corretto e l’importanza di questo tema occorre ricordarsi che il backup non è una attività di archiviazione fine a sé stessa ma piuttosto un’operazione al servizio della continuità operativa, un tassello fondamentale di quello che può essere definito come il Data Protection & Availability Plan.

Prima di iniziare ad archiviare è essenziale conoscere a fondo le necessità aziendali e la struttura del business, in modo da definire la politica di backup più adatta alle proprie esigenze. In questa fase di analisi bisogna assolutamente porsi cinque domande fondamentali:

• quali sono i dati critici (file, cartelle, etc.) da proteggere? 
• di quanto spazio storage si ha bisogno per archiviarli e di quali dispositivi di supporto?
• con quale frequenza il dato di backup deve essere aggiornato?
• per quanto tempo occorre conservare i dati?

Ed è proprio quest’ultima domanda che ci porta alla definizione della Data Retention: il termine indica il periodo di conservazione dei dati di backup, cioè il lasso di tempo durante il quale i dati sono salvati e ancora disponibili per un ripristino.

Come definire una corretta data retention

Partiamo da un punto fermo: non esiste una Data Retention perfetta per tutte le aziende. Ciascuna realtà deve necessariamente stabilire le proprie tempistiche in funzione del proprio business.

Per fare un esempio, un’azienda che eroga servizi di post-vendita per un anno sui prodotti venduti non può assolutamente programmare una Data Retention di soli 6 mesi sui dati relativi agli ordini perché, in caso di perdita dei dati, non disporrebbe più delle informazioni utili alla sua attività di customer care.

Al contrario, un’azienda che vende esclusivamente tramite e-commerce potrebbe non aver bisogno di un long retention backup (di fatto spesso molto costoso) del proprio sito, ma solo di poter ripristinare la versione più aggiornata nel minor tempo possibile.

Per definire al meglio la nostra Data Retention dobbiamo suddividere i nostri dati in tre categorie (Alta, Media, Bassa) secondo due scale: frequenza di aggiornamento e criticità. Ciò ci permetterà di ottenere una matrice che individuerà:

• i dati aggiornati molto frequentemente e molto critici;
• i dati aggiornati poco frequentemente e molto critici;
• i dati poco aggiornati e poco critici;
• e così via.

Esempio:

Utilizzando i risultati della matrice prodotta, configureremo quindi i nostri backup applicando una Data Retention di lungo periodo per i dati molto critici e aggiornati con frequenza. Potremo invece prevedere una Data Retention minore ad esempio per i dati poco aggiornati e poco critici.

Quando si parla di tempistiche di conservazione dei dati, è sempre necessario tenere in considerazione cosa prevede la legge. Di seguito vedremo come si esprimono normativa europea e normativa italiana in materia.

Uno sguardo alla normativa in materia di conservazione dei dati personali

Nel definire la Data Retention dei dati aziendali, non dobbiamo mai ignorare quanto dettato in merito dalla normativa europea e da quella italiana, con particolare riferimento ai dati “personali”, ossia “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)” (art. 4 dell’EU General Data Protection Regulation). È chiaro che non tutti i “dati aziendali” sono anche “dati personali”, tuttavia questi ultimi sono certamente presenti nei nostri sistemi e anche in termini di Data Retention vanno trattati secondo la legge. Vediamo quindi brevemente cosa dicono le normative.

La vecchia Direttiva Europea 2006/24/CE

La Direttiva Europea 2006/24/CE del Parlamento Europeo e del Consiglio del 15 marzo 2006 riguardava la conservazione dei dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica (dati di conversazioni telefoniche, traffico telematico) accessibili al pubblico o di reti pubbliche di comunicazione, con lo scopo di garantirne la disponibilità a fini di indagine, accertamento e repressione di reati gravi.

Nonostante l’intento positivo del provvedimento (la Direttiva era stata adottata a seguito degli attentati di Londra e Madrid del 2004 e 2005), sia la Corte irlandese sia quella austriaca sollevarono questioni di legittimità dello stesso, tant’è che l’8 aprile 2014 la Direttiva venne dichiarata, dalla Corte di Giustizia europea, invalida e inefficiente fin dalla sua entrata in vigore, perché ritenuta una misura di sorveglianza ingiustificata e per la possibilità di accesso indiscriminato ai dati conservati da parte delle autorità.

Ciò detto, da allora agli Stati membri dell’UE non è stata più fornita alcuna direttiva in sostituzione.  Allo stesso tempo, le norme interne agli Stati membri hanno mantenuto negli anni la propria efficacia.

Il Regolamento Generale sulla Protezione dei Dati (GDPR)

Il GDPR (EU General Data Protection Regulation), ossia il Regolamento Generale sulla Protezione dei Dati entrato in vigore a maggio del 2016, prevede all’art. 5 – come già faceva l’art. 11 del Codice per la Privacy – che i dati personali possano essere conservati “per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”. Si può quindi affermare che nel GDPR non vi è traccia di un’indicazione circa il “tempo standard” per il quale si possano conservare i dati.

Il titolare del trattamento dei dati è altresì tenuto, secondo l’art. 13 del GDPR, a informare gli interessati sul periodo di conservazione dei loro dati personali. Se ciò non fosse possibile, gli interessati hanno comunque il diritto di conoscere almeno i “criteri utilizzati per determinare tale periodo”.

La normativa italiana sulla Data Retention

Come detto, le norme interne in materia di conservazione dei dati non hanno mai perso di validità, ma è pur vero che un giudice ha comunque la facoltà di non applicare le norme interne se ritenute in contrasto con i principi stabiliti dall’UE.

Nella prassi, però, tali norme interne permangono valide fino a quando non è il legislatore a modificarle. Questo è quanto è successo in molti paesi europei, i cui legislatori hanno deciso di mantenere le proprie regole in materia pur andando queste in contrasto palese con i principi dettati dalla Corte EU.

Nel caso specifico italiano, in mancanza di un pronunciamento definitivo dell’UE, con la legge 167/2017 (confermata dal decreto 108/2018) l’Italia ha addirittura portato a 6 anni il periodo di Data Retention dei dati telefonici e telematici (la Russia lo ha, al contrario, ridotto a 6 mesi).

Si può quindi concludere che le norme europee e quelle italiane coesistono e che, nonostante le prime prevalgano sulle seconde, queste ultime continuano ad avere priorità fintanto che il legislatore non le modifichi per adattarle alla normativa europea o fintanto che un giudice non decida di non applicarle perché in contrasto con i principi dell’UE.