DISASTERRECOVERY: VIA LIBERA DEL GARANTE ALLE LINEE GUIDA PER LA PA

I fornitori di servizi clouddovranno dichiarare l'esatta posizione dei server

Vialibera del Garante privacy sullo schema di "Linee-guida per il Disaster Recovery delle pubblicheamministrazioni" predisposto dall'Agenzia per l'Italia digitale (ex DigitPa).

Nell'esprimereparere favorevole l'Autorità ha constatato che il testo accoglie, nellasostanza, le raccomandazioni e le condizioni per la messa in sicurezza dei datifornite nel 2011, su una prima edizione di Linee guida.

Ancheriguardo agli aspetti più tecnologici il Garante non ha rilevato particolaricriticità.

Comeprevisto dal Codice dell'amministrazione digitale (Cad), ogni pubblicaamministrazione deve predisporre, e aggiornare periodicamente, il piano di disaster recovery,ossia l'insieme delle attività necessarie per ripristinare le funzionalità diun sistema informatico nel suo complesso (strutture hardware, software e servizi di comunicazione), messo fuori uso da un evento improvviso che potrebbecomportare danni e perdite gravi per l'amministrazione.

Intale ambito, l'Agenzia per l'Italia digitale, sentito il Garante, ha il compitodi definire le Linee guida in cui sono indicate le soluzioni tecniche in gradodi garantire la sicurezza dei dati e dei sistemi informatici.

Ognianno, inoltre, l'Agenzia deve verificare l'aggiornamento dei piani dellesingole amministrazioni.

Comerichiesto dal Garante, le attuali Linee guida stabiliscono, in particolare, tempi definiti diconservazione dei backup commisurati al tipo di informazioni trattate, allascadenza dei quali i dati devono essere cancellati.

L'uso di tecniche di cifratura poi, non devepregiudicare la disponibilità delle informazioni in caso di necessità.

Le pubbliche amministrazioni, pertanto, devonoassicurare la compatibilità tecnologica dei supporti, dei formati diregistrazione, degli strumenti crittografici e degli apparati di lettura pertutta la durata di conservazione del dato.

Le Linee guida, recependo ancora leindicazioni dell'Autorità, introducono, infine, per il fornitore di eventualiservizi di cloud computing un obbligo particolarmente rilevante: quello didichiarare, in sede contrattuale, l'esatta localizzazione geografica dei datigestiti.

Questo consentirà all'amministrazione divalutare se il paese in cui vengono trasferiti i dati appartenga all'Unioneeuropea o assicuri comunque un livello di tutela dei dati personali adeguato aisensi della normativa UE sulla protezione dei dati personali.