GDPR e backup: le problematiche dell’art.17

Il 25 maggio 2018 è entrato in vigore il GDPR e, come anticipato dagli addetti ai lavori, sono già sorte diverse problematiche relative all’attuazione delle varie direttive. Come si era già intuito con la vicenda ICANN e WHOIS, il GDPR non offre delle soluzioni applicabili perfettamente ad ogni caso e, forse anche perché gli stessi legislatori hanno realizzato la molteplicità degli scenari da considerare, si limita a fornire solo delle linee guida – rimanendo vago su alcuni punti.

La libertà d’interpretazione concessa dal GDPR è alla base delle criticità sollevate nelle ultime settimane dalle aziende che operano nel settore delle soluzioni backup e tutto ciò ad esso correlato, inclusi snapshot ed informazioni archiviate nei database. A preoccupare le imprese, come suggerisce il titolo del post, è l’art. 17 del GDPR o il cosiddetto diritto all’oblio. L’Information Commissioner Office (ICO) del Regno Unito (che nonostante la Brexit non può ignorare il GDPR), citato dal portale The Register, ha commentato a riguardo:

Il punto cruciale è che, [in caso di attuazione delle disposizioni previste dal diritto all’oblio], le organizzazioni dovranno essere trasparenti con gli individui circa la gestione dei dati, inclusi gli ambienti di produzione ed i sistemi di backup. Forniremo prossimamente delle informazioni sui backup ed il diritto all’oblio.

Ed in merito alla creazione dei backup osserva un addetto ai lavori:

[Le soluzioni di backup] non controllano il contenuto ed il formato degli oggetti [archiviati] e non sono a conoscenza [dei dati al loro interno]. Inoltre, l’oggetto gestito dai software di backup è solitamente [un blocco che è stato modificato in un file, in una VM o in un database al momento dell’ultimo backup eseguito]. Il software di backup potrebbe non essere a conoscenza della collocazione di quel blocco né disporre delle informazioni adeguate ad individuarla.

In un database relazionale liberamente consultabile è facile, prosegue, cancellare un record X e tutte le voci ad esso correlate. Se tuttavia il database è costituito da uno o più oggetti (objects) archiviati, ciò richiederebbe in primo luogo che il software di backup sia a conoscenza del formato dei file; in secondo luogo dovrebbe essere in grado di cancellare il record desiderato e tutti gli indici ad esso correlati. Il tutto  dovrebbe essere infine possibile con tutti i database supportati dal software.

L’unica soluzione possibile, sebbene onerosa da gestire, potrebbe essere quella di eliminare i dati in fase di ripristino.

Snapshot ed altri pareri

All’indomani del GDPR, anche gli snapshot sollevano alcuni problemi operativi e burocratici. Il CEO di una startup di soluzioni storage si domanda come dovrà comportarsi con gli snapshot di un RDBMS. Occorrerà cancellare tutti gli snapshot in cui sono presenti i dati richiesti dall’utente? E la situazione si complica maggiormente se si pensa al fatto che gli snapshot sono elementi di “sola lettura”, il che richiederebbe: la modifica delle proprietà dello snapshot da lettura a lettura/scrittura; montare l’immagine del database ed eseguire la cancellazione, esponendo la compagnia a possibili perdite di dati.

Linus Chang (CEO of BackupAssist) ritiene estremamente difficile applicare il diritto all’oblio ai backup. In ambito enterprise, come andrebbe ad esempio gestita la cancellazione di un dato X archiviato su un nastro magnetico? Ciò richiederebbe la distruzione dell’intero supporto fisico, una soluzione semplicemente non attuabile. Ed anche se fosse possibile una rimozione “selettiva”,  aggiunge, ciò metterebbe a rischio l’integrità dei backup e l’operatività delle applicazioni che si aspettano di trovare quei dati in una determinata posizione.

Una soluzione proposta da un avvocato specializzato nella tutela/protezione dei dati è l’anonimizzazione di questi ultimi. Con tale espediente, osserva l’esperto, i dati cesserebbero di essere considerati “personali” e quindi non dovrebbero più sottostare alle direttive del GDPR. Dovendo essere tuttavia garantiti i diritti del cittadino (tra cui il diritto all’oblio), il controllore dei dati dovrà: evitare di utilizzare i dati personali per notificare ai diretti interessati eventuali modifiche/azioni avvenute/eseguite; impedire che altre organizzazioni o soggetti accedano ai dati; proteggere i dati con adeguate misure di sicurezza tecniche ed organizzative; impegnarsi all’eliminazione dei dati se o quando sarà possibile eseguire la procedura.

Una situazione complicata che richiederà agli interessati, come nel caso WHOIS, di “navigare a vista” in attesa delle preziose indicazioni di giudici e corti di giustizia europee che, inevitabilmente, dovranno pronunciarsi su cause inerenti il GDPR.

Fonte: 1