I fornitori di servizi cloud dovranno dichiarare l'esatta posizione dei server.
Via libera del Garante privacy sullo schema di "Linee-guida per il Disaster Recovery delle pubbliche amministrazioni" predisposto dall'Agenzia per l'Italia digitale (ex DigitPa).
Nell'esprimere parere favorevole [doc. web n. 2563133] l'Autorità ha constatato che il testo accoglie , nella sostanza , le raccomandazioni e le condizioni per la messa in sicurezza dei dati fornite nel 2011 , su una prima edizione di Linee guida.
Anche riguardo agli aspetti più tecnologici il Garante non ha rilevato particolari criticità.
Come previsto dal Codice dell'amministrazione digitale (Cad) , ogni pubblica amministrazione deve predisporre , e aggiornare periodicamente , il piano di disaster recovery , ossia l'insieme delle attività necessarie per ripristinare le funzionalità di un sistema informatico nel suo complesso (strutture hardware, software e servizi di comunicazione) , messo fuori uso da un evento improvviso che potrebbe comportare danni e perdite gravi per l'amministrazione.
In tale ambito , l'Agenzia per l'Italia digitale , sentito il Garante , ha il compito di definire le Linee guida in cui sono indicate le soluzioni tecniche in grado di garantire la sicurezza dei dati e dei sistemi informatici.
Ogni anno , inoltre , l'Agenzia deve verificare l'aggiornamento dei piani delle singole amministrazioni.
Come richiesto dal Garante , le attuali Linee guida stabiliscono , in particolare , tempi definiti di conservazione deibackup commisurati al tipo di informazioni trattate , alla scadenza dei quali i dati devono essere cancellati.
L'uso di tecniche di cifratura poi , non deve pregiudicare la disponibilità delle informazioni in caso di necessità.
Le pubbliche amministrazioni , pertanto , devono assicurare la compatibilità tecnologica dei supporti , dei formati di registrazione, degli strumenti crittografici e degli apparati di lettura per tutta la durata di conservazione del dato.
Le Linee guida , recependo ancora le indicazioni dell'Autorità , introducono , infine , per il fornitore di eventuali servizi di cloud computing un obbligo particolarmente rilevante: quello di dichiarare , in sede contrattuale , l'esatta localizzazione geografica dei dati gestiti.
Questo consentirà all'amministrazione di valutare se il paese in cui vengono trasferiti i dati appartenga all'Unione europea o assicuri comunque un livello di tutela dei dati personali adeguato ai sensi della normativa UE sulla protezione dei dati personali.
.jpg)
.jpg)
.jpg)
.jpg)
