Come è ormai noto l’art 50 bis del Codice dell’Amministrazione Digitale che prevedeva espressamente la disciplina della continuità operativa e Disaster Recovery è stato abrogato dal D.Lgs. n. 179/2016.
Tuttavia, a ben guardare, il tema della continuità operativa è ancora presente nell’art. 51 del Codice dell’Amministrazione Digitale che al comma 1 parla di “soluzioni tecniche idonee a garantire la protezione, la disponibilità, l’accessibilità, l’integrità e la riservatezza dei dati e la continuità operativa dei sistemi e delle infrastrutture”; inoltre, il comma 2 dice che “I documenti informatici delle pubbliche amministrazioni devono essere custoditi e controllati con modalità tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o non conforme alle finalità della raccolta”.
L’obbligo di tutelare la continuità operativa dei sistemi è quindi presente nelle norme vigenti, ma non è codificato da regole tecniche ed adempimenti puntuali.
Anche per quanto attiene il Disaster Recovery né la normativa attuale né quella previgente indicano aspetti tecnici quali la distanza che dovrebbe intercorrere tra i due siti, lasciando ampia discrezionalità alle Amministrazioni nell’effettuare le dovute valutazioni.
La stessa AGID ha stabilito che non è possibile fornire indicazioni generali sulla distanza necessaria tra i due siti ma è necessaria una valutazione basata sulle specificità locali in termini di sismicità dell’area, dissesto idrogeologico del territorio, caratteristiche infrastrutturali degli edifici, etc.
Indubbiamente i siti di recovery non devono essere situati nell’area metropolitana nella quale sono presenti i siti primari, ma la distanza minima dipende dalle scelte e dalle valutazioni effettuate dall’Amministrazione stessa.
Rimane dunque l’imposizione di garantire la continuità dei sistemi ma le P.A. possono gestirla in autonomia.
Questa modalità è peraltro quella che emerge anche dal Regolamento Europeo (GDPR) – definitivamente applicabile in Italia dal 25 maggio 2018 -, che prevede l’obbligo da parte dei titolari di allestire un sistema di gestione della sicurezza.
In particolare il provvedimento comunitario contiene un chiaro riferimento alle misure di sicurezza già all’art. 22 quando chiarisce che il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali è effettuato conformemente al Regolamento (principio di accountability). Mentre, più nello specifico, l’art. 32 del Regolamento ne parla a proposito della sicurezza del trattamento.
L’art. 32 del GDPR infatti così recita: “Tenuto conto, quindi, dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono tra l’altro, se del caso:
• la pseudonimizzazione e la cifratura dei dati personali;
• la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
• la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
• una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.”
Una differenzia sostanziale fra il GDPR e l’attuale Dlgs 196/03 (Codice Privacy) riguarda gli adempimenti richiesti a Data Controller e Data Processor per quanto attiene la capacità di garantire nel continuo l’accesso ai dati.
L’attuale normativa privacy si occupa di questo tema nella misura minima 23 dell’Allegato B che stabilisce: “Sono adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni”.
Il tempo massimo concesso per il ripristino dei dati e dei sistemi è di ben sette giorni.
Un notevole lasso di tempo, che indubbiamente non è compatibile con le esigenze delle Amministrazioni.
Ben diverso è invece il tenore del citato articolo 32 del GDPR il quale richiede la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
Con il termine “tempestivamente” siamo sicuramente ben lontani dai 7 giorni proposti dal Dlgs 196/03.
La normativa in esame richiede inoltre che i sistemi ed i servizi siano resilienti e disponibili, termini che tecnicamente possono essere tradotti come alta affidabilità e disaster recovery.
Avv. Federica Spuri Nisi