La giornata mondiale del backup (World Backup Day) è stata introdotta nel 2011 per promuovere, negli utenti, l’utilizzo di sistemi di conservazione dei file volti a garantire la sicurezza dei dati.
Il termine backup è utilizzato nel linguaggio informatico per evocare l’esecuzione di copie di riserva dei propri file e in generale dei dati, al fine di scongiurare eventuali perdite involontarie. La procedura può essere svolta mediante duplicazione e salvataggio in una chiavetta, in un device esterno o attraverso l’utilizzo di servizi in cloud.
La procedura di archiviazione dei file e i metodi di conservazione degli stessi sono attività che possono avere implicazioni giuridiche, in considerazione di eventuali accadimenti quali la perdita di file o la violazione dell’accesso agli storage.
Sicurezza dei dati
Il reg UE 2016/679 qualifica come trattamento qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come (..) la conservazione (art. 4 n. 2).
Il GDPR è quindi destinato a trovare applicazione anche ai casi in cui i dati vengano salvati, archiviati e conservati (all’interno del computer o in spazi esterni) e rimangano quindi a disposizione per i successivi accessi da parte del titolare del trattamento.
La normativa europea non fissa espressamente le modalità con le quali dette procedure debbano essere espletate, ma impone che i dati vengano trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (art 5 lett. f).
Il principio di integrità e riservatezza impone quindi al titolare, il quale nell’eventualità dovrà comprovarlo, di adottare delle procedure da scegliersi, sulla base dell’organizzazione aziendale, del tipo di attività che svolge, della tipologia di dati che tratta, del tempo di conservazione degli stessi, della capacità di investimento, delle dimensioni dell’azienda. Tali misure, assunte in relazione agli anzidetti parametri, devono essere idonee a garantire la sicurezza ed impedire sia accessi non autorizzati, sia perdita di dati derivante da altre situazioni patologiche.
E quindi, per quanto qui attiene, con riguardo alle procedure di duplicazione dei dati e salvataggio degli stessi in device (pennette usb, hard disk esterni, spazi in cloud), il titolare del trattamento, per essere in privacy compliance dovrà predisporre una serie di accorgimenti parametrati al tipo di attività, i quali potranno essere, ad esempio:
- se utilizza un hard disk esterno, collocarlo in un luogo sicuro, inibendo in tale senso l’accesso a soggetti esterni alla realtà aziendale e regolamentando internamente, i dipendenti e collaboratori abilitati ad accedere;
- se viene utilizzato uno spazio esterno come in cloud, prevedere un’autenticazione a due fattori e cambiare periodicamente password;
- evitare, per quanto possibile, l’utilizzo di una chiavetta usb in quanto la modalità di conservazione dei dati sulla stessa non viene eseguita nello stesso modo adottato per gli hard disk, rendendo difficoltoso il recupero dei dati in caso di malfunzionamento della stessa. Il regolamento impone infatti di adottare misure volte a prevenire i danni accidentali;
- in ogni caso, che si utilizzi un hard disk esterno, uno spazio interno al computer o una usb, può essere utile crittografare i dati presenti in tali dispositivi così da impedire o comunque per quanto possibile contrastare l’accesso esterno.
Conservazione dei file
Per le realtà aziendali aventi ad oggetto la produzione e la consegna di materiale, ad esempio multimediale (un video, un sito web, degli scatti), l’art 1177 c.c. prevede che l’obbligo di consegna di tale cosa determinata (pattuita contrattualmente) includa altresì quella di custodirla fino alla consegna.
Per l’effetto, il contraente dovrà predisporre delle procedure che assicurino la conservazione dei file che saranno consegnati. Per evitare di essere inadempienti a causa di danni accidentali al proprio computer è buona norma predisporre copie di backup di tale materiale. Per sottrarsi invece ad accessi hacker non autorizzati che potrebbero determinare malfunzionamenti al proprio computer potrebbe essere utile crittografare il proprio hard disk interno.
L’obbligo di custodire i file per un certo tempo, può essere altresì oggetto di uno specifico accordo tra le parti; in questo caso, il custode dovrà adottare tutte le misure ritenute necessarie e adeguate in base alla propria organizzazione, per scongiurare l’eventuale inadempimento all’obbligo assunto.
Best practices
Ebbene, alla luce di quanto esposto, i metodi di salvataggio e le procedure di archiviazione dei file, sono attività che possono avere importanti implicazioni giuridiche e causare il sorgere di responsabilità. Ecco quindi le best practices che ti consiglio di seguire e condividere!

Photo by Patrick Lindenberg on Unsplash