Il Garante privacy ha dato parere positivo allo schema di “Linee-guida per il Disaster Recovery delle pubbliche amministrazioni” predisposto dall’Agenzia per l’Italia digitale (ex DigitPa), emanate ai sensi dell’articolo 50-bis, comma 3, lett. b), del Codice dell’amministrazione digitale – (Registro dei provvedimenti n. 333 del 4 luglio 2013).
Secondo il Codice dell’amministrazione digitale (Cad), per ogni pubblica amministrazione deve esistere un piano di disaster recovery, aggiornato in modo periodico ovvero delle istruzioni che servano per ripristinare le funzionalità di un sistema informatico nel suo complesso (strutture hardware, software e servizi di comunicazione), danneggiato in tutto o in parte da un evento improvviso.
Pertanto le Linee guida definiscono tempi di conservazione dei dati di backup correlati al tipo di informazione trattata e date entro le quali i dati debbano essere cancellati. Se i dati sono cifrati l’informazione deve in ogni caso essere resa disponibile in caso sia necessaria. Se la P.A. richiede un servizio di cloud computing inoltre nel contratto dovrà essere indicata l’esatta localizzazione geografica dei dati gestiti onde poter valutare se il paese in cui vengono trasferiti i dati appartenga all’Unione europea o assicuri comunque un livello di tutela dei dati personali adeguato ai sensi della normativa UE sulla protezione dei dati personali.
Infine in tema di ispezioni per il semestre 2013 (208 ispezioni e 2 milioni di euro di sanzioni) il Garante ha reso noto come vi sia stata “poca informazione a utenti e clienti su come vengono usati e per quali scopi i loro dati, troppe informazioni personali trattate senza il consenso degli interessati, soprattutto da parte di società che si occupano di marketing telefonico”.
“Le sanzioni hanno riguardato, innanzitutto, la omessa o inidonea informativa (289) e il trattamento illecito dei dati (132), legato principalmente al telemarketing e all’uso dei dati personali senza consenso”.
Ricordiamo che i professionisti di Taxlawplanet sono in grado di erogare consulenza in tema di privacy sia in conformità alla normativa italiana che a quella britannica, specialmente in tema di commercio elettronico e siti web.
