Suscita perplessità nelle aziende, in particolare quelle che operano nel settore delle soluzioni di backup, l’art. 17 del GDPR, il cosiddetto diritto all’oblio.
Il focus della questione è che, in caso di attuazione delle disposizioni previste dal diritto all’oblio, le organizzazioni devono dimostrare trasparenza nella gestione dei dati degli interessati, compresi i dati degli ambienti di produzione e dei sistemi di backup. Vediamo di cosa si tratta.
Indice degli argomenti
La normativa di riferimento
Il Regolamento generale sulla protezione dei dati (GDPR) è una legge complessa, non priva di alcune apparenti contraddizioni in termini. Una di queste riguarda il diritto alla cancellazione dei dati personali, noto anche come “diritto all’oblio”.
In sintesi, il diritto all’oblio implica che le aziende che raccolgono e conservano informazioni personali trovino, riferiscano e cancellino (quando richiesto) tutti i dati personali che possono essere utilizzati per identificare il soggetto – ammesso che la cancellazione del dato personale non sia vietata da responsabilità normative o legali e l’organizzazione non abbia più bisogno dei dati per la finalità per la quale erano stati originariamente raccolti.
Il principale fattore scatenante di questo passaggio radicale è stato originato dalle pratiche commerciali di società come Google e Facebook, circa le modalità con cui raccolgono e utilizzano i dati personali, vendendoli ad altre società per scopi di marketing e vendita. Il diritto all’oblio consente agli interessati di richiedere che le organizzazioni rimuovano tutti i dati personali che li riguardano, se sussiste una delle seguenti casistiche:
- raggiungimento della finalità per cui l’informazione è stata raccolta e trattata;
- revoca del consenso da parte dell’interessato;
- assenza di interesse legittimo prevalente per procedere al trattamento;
- raccolta illecita dei dati;
- assolvimento di un obbligo legale, che richiede la cancellazione dei dati.
Backup, diritto all’oblio e GDPR
Il diritto all’oblio è quindi un aspetto fondamentale del GDPR e riguarda le informazioni personali contenute nei sistemi di posta elettronica, nei sistemi CRM di marketing e vendite, sui server SharePoint, sui desktop / laptop dei dipendenti, sugli account dei social media aziendali, ma il suo impatto sulle informazioni personali nei backup dei dati deve ancora essere testato. In altre parole, ci si chiede se anche le informazioni personali dei backup aziendali siano soggette al diritto all’oblio.
In tal senso, continua ad esserci un dibattito sulla praticabilità di sostenere una richiesta di diritto all’oblio anche per i backup aziendali, dovuto in gran parte ai costi potenziali che ciò comporterebbe. Il fatto è che, nella pratica, non è così semplice cancellare i dati personali da un software o da un database.
Innanzitutto, le soluzioni di backup non controllano il contenuto ed il formato degli oggetti archiviati e non sono a conoscenza dei dati al loro interno né della loro collocazione e non dispongono delle informazioni adeguate per individuarli. Infatti, in un database relazionale, è facile cancellare un record e tutte le voci ad esso correlate. Ma se il database è costituito da uno o più oggetti archiviati, la cancellazione richiederebbe in primo luogo che il software di backup sia a conoscenza del formato dei file; in secondo luogo dovrebbe essere in grado di isolare e cancellare il record desiderato e tutti gli indici ad esso correlati. E tutto ciò dovrebbe essere possibile con tutti i database supportati dal software.
Per venire incontro all’art. 17 del GDPR, l’unica soluzione possibile, sebbene onerosa da gestire, sarebbe quindi quella di eliminare i dati in fase di ripristino, ma il rispetto di questa richiesta comporterebbe un lavoro a tempo pieno. La soluzione ideale potrebbe essere quella di organizzare i backup in modo che ogni interessato abbia il proprio archivio. Tuttavia, questo approccio rischia di essere poco pratico per molte aziende, dato che i dati personali di un individuo sono spesso distribuiti su più applicazioni, dispositivi e backup.
Backup e diritto all’oblio: diverse strade interpretative
Secondo il CNIL, le organizzazioni non devono necessariamente eliminare i backup a fronte di una richiesta di cancellazione. Tuttavia, devono specificare chiaramente all’interessato i tempi di conservazione dei dati di backup. In questo caso, va comunque considerato che altre autorità di controllo potrebbero avere una posizione in merito differente e più rigida. Inoltre, per essere in grado di dimostrare che non è pratico eliminare i dati di backup, bisognerebbe condurre quantomeno una valutazione del rischio e una valutazione d’impatto sul business. Occorrerebbe poi documentare le politiche e le procedure per mantenere sicuri i dati di backup, con apposite istruzioni sulla crittografia dei backup e sul luogo di mantenimento dei dispositivi di backup.
In ogni caso, è opinione diffusa fra i tecnici che sia estremamente difficile applicare il diritto d’oblio ai backup. In ambito aziendale, ci si chiede ad esempio come andrebbe gestita la cancellazione di un dato archiviato su un nastro magnetico. Ciò richiederebbe la distruzione dell’intero supporto fisico, una soluzione semplicemente non attuabile. Ed anche se fosse possibile una rimozione, essa metterebbe a rischio l’integrità dei backup e l’operatività delle applicazioni che si aspettano di trovare quei dati in una determinata posizione. Una soluzione potrebbe essere l’anonimizzazione dei dati personali. In questo modo, i dati cesserebbero di essere considerati “personali” e quindi non dovrebbero più sottostare alle direttive del GDPR.
In ogni caso, con un backup del computer, potrebbe essere impossibile isolare i dati personali di un singolo interessato e anonimizzarli. E, anche nei casi in cui ciò fosse possibile, i costi associati a tale sforzo potrebbero essere del tutto impraticabili. Questo problema richiede dunque chiarimenti legislativi o indicazioni da parte dell’EDPB, dato che lo stesso Regolamento afferma che la capacità di ripristinare i dati personali da un backup del computer è una delle “misure tecniche e organizzative appropriate” che dovrebbero essere implementate per garantire la sicurezza dei dati.
La posizione dell’ICO
Sebbene al momento non vi sia una risposta chiara, l‘ICO nel Regno Unito è una delle poche autorità nazionali per la protezione dei dati ad aver trattato il problema. Prima del GDPR, l’ICO ha pubblicato una guida su tale tematica, in cui è stata riconosciuta la difficoltà presentata da una richiesta di cancellazione quando si conservano dati archiviati o di backup. La guida afferma che l’ICO adotta un approccio realistico, riconoscendo che l’eliminazione di informazioni da un sistema non è sempre una questione immediata. Per l’ICO, i dati personali oggetto di una richiesta di cancellazione possono essere messi fuori dalla disponibilità, se non effettivamente eliminati, se il titolare del trattamento:
- non può utilizzare o non utilizzerà i dati riguardanti l’interessato;
- non fornisce ad alcuna altra organizzazione l’accesso ai dati;
- applica la “protezione tecnica e organizzativa adatta” ai dati;
- si impegna ad eliminare i dati se o quando l’eliminazione diventa possibile.
Dopo il GDPR, l’ICO ha continuato a basarsi su questa guida, sottolineando che, quando si tratta di eliminare i dati contenuti nei backup del computer, mettere i dati “fuori uso” nel modo sopra descritto è un approccio accettabile per rispondere ad una richiesta di cancellazione che coinvolge i dati di backup. L’ICO aggiunge che un titolare del trattamento deve essere assolutamente chiaro con le persone riguardo a cosa accadrà ai loro dati quando la richiesta della loro eliminazione sarà soddisfatta, anche per quanto riguarda i sistemi di backup.
Conclusioni
Come ci si potrebbe aspettare, le aziende hanno già sollevato obiezioni sull’inclusione dei backup nel diritto all’oblio. Il problema è che il GDPR non considera i backup come repository di dati soggetti alla cancellazione dei dati personali. Ma, mentre si è in attesa di un’interpretazione prevalente, le aziende stanno prendendo in considerazione due potenziali strategie:
- ignorare il problema in attesa di indicazioni definitive, informando i clienti che il loro diritto potrebbe non essere applicabile ai backup. Ciò però comporta che l’azienda debba trovare un modo per rimuovere i dati di quanti, nel frattempo, abbiano comunque fatto istanza di cancellazione;
- In alternativa, anziché eseguire il backup dei dati che contengono informazioni personali, archiviarli in modo che possano essere facilmente gestiti, cercati e cancellati quando necessario.
Ignorare il problema non è in genere la strategia più efficace. Molti esperti nel settore ritengono che la migliore pratica sia quella di ipotizzare uno scenario peggiore da cui partire e iniziare a selezionare i dati personali dai processi di backup. In molti casi, gli archivi basati su cloud includono la funzionalità aggiuntiva di offrire la replica in modo che i dati vengano sottoposti a backup, pur continuando a offrire una facile ricerca e cancellazione dei dati, anche in ottica GDPR.
Gli esperti di GDPR continuano ad aspettarsi che alla fine il Regolamento includa specificamente anche i backup come repository soggetti al diritto all’oblio. In tal caso, la gestione intelligente delle informazioni e l’archiviazione nel cloud potrebbero fornire un approccio molto più efficace per soddisfare i requisiti di gestione dei dati secondo il GDPR ed economicamente in modo più efficiente.
La transizione ad un approccio basato sul cloud consente alle aziende di allontanarsi dalle costose soluzioni di gestione dei dati e di backup on-premise e utilizzare al loro posto tutte le risorse disponibili. Grazie alla gestione e all’archiviazione dei dati basata su cloud, le aziende mantengono la proprietà diretta dei loro dati, cosa che gli archivi cloud SaaS non possono fare. L’archiviazione del cloud fornisce inoltre un maggiore controllo sulla gestione delle informazioni dell’organizzazione, inclusa la risposta alle richieste di cancellazione dei dati.
