Disaster Recovery

Disaster Recovery

Disaster Recovery

IL NUOVO REGOLAMENTO PRIVACY EUROPEO GDPR

Il Regolamento Europeo n. 2016/679 GDPR è stato pubblicato in Gazzetta Ufficiale Europea n. 119 del 4 Maggio 2016, è entrato in vigore a partire dal 25 Maggio 2016 ed è diventato applicabile (in sostanza: applicabili le sue sanzioni, abrogazione e sostituzione della Direttiva UE sulla privacy 95/46/CE) a partire dal 25 maggio 2018. Il GDPR introduce un nuovo e composito quadro di obblighi e misure, valide in ogni contesto di business, sia nel settore privato sia in quello pubblico, che devono essere rispettate dalle organizzazioni stabilite nella UE ed anche dalle organizzazioni extra UE che offrono servizi e/o effettuano attività di monitoraggio verso persone fisiche nella UE. Il quadro sanzionatorio previsto dal GDPR è particolarmente importante (sanzioni anche fino a 20 milioni di euro o 4% del fatturato nel caso d’imprese) e ciò fornisce ampia dimostrazione di quanto si intenda dissuadere qualunque tipo di mancata/parziale conformità rispetto alle prescrizioni del GDPR, ben consapevoli che gli obblighi imposti hanno consistenti impatti in pressoché tutte le attività di business, anche a livello internazionale quando sono in gioco le responsabilità delle organizzazioni rispetto le normative UE. 

Disaster Recovery (GDPR)

Il servizio Disaster Recovery garantisce al cliente di rispondere ai principi di protezione dei dati personali in merito ai requisiti fondamentali di integrità, disponibilità e riservatezza. I Data Center Clouditalia sono infatti centri tecnologici progettati e realizzati con un’architettura fault-tolerant sia per l’accesso alla rete Internet che per i sistemi di alimentazione, di controllo ambiente e di controllo accessi. I data center sono controllati 24 ore su 24 per 365 giorni l’anno tramite un sistema di videosorveglianza che garantisce eccellenti livelli di sicurezza. Gli accessi sono regolati tramite accesso biometrico o codici personali validi unicamente per la durata degli interventi. I locali sono dotati di sistemi di condizionamento, anti-intrusione, rilevamento e spegnimento incendi, gruppi di continuità elettrica UPS e generatori diesel. I servizi di Disaster Recovery Clouditalia propongono una replica totalmente virtuale delle risorse, basata esclusivamente su tecnologia software. Grazie alle politiche di sincronia scelte il servizio garantisce una RPO prossima ai 5 secondi e una RTO di pochi minuti. Il servizio fornito su tecnologia Zerto, lavorando sull’Hypervisor con una piattaforma esclusivamente software assicura un impatto minimo sulle risorse del sito di partenza. Il servizio di DR di Clouditalia è possibile mettere sui due diversi siti anche una singola Virtual Machine. Gli elementi imprescindibili che consentono al servizio di Disaster Recovery di garantire la continuità operativa sono: Distanza tra i due siti – Clouditalia attesta le organizzazioni per cui è stato sottoscritto il sevizio di DR rispettivamente nei data center di Milano ed Arezzo, garantendo in questo modo anche l’ottemperanza delle disposizioni stabilite dal CNIPA “Quaderni n° 35, febbraio 2008, La continuità operativa nella pubblica amministrazione”. Collegamento tra i due siti - La connessione tra i due siti di Disaster Recovery deve poter garantire un impatto minimo sia dal punto di vista delle normali attività di lavoro, che non devono essere impattate dal processo di allineamento dei due siti, che in caso di effettivo utilizzo del servizio di recovery. Nel caso specifico, le connessioni tra i due siti del DR sono realizzate su collegamenti DWDM dedicati:

• Roma-Arezzo circa 310km
• Arezzo-Milano lato circa 505km
• Milano-Roma circa 665km

Di seguito la rispondenza del servizio ai requisiti della norma:

Articolo	Requisito normativo	Servizio Disaster Recovery
Art. 5	Liceità e conservazione del dato	I dati dei clienti sono raccolti solo per le finalità specificate sul contratto e per il tempo strettamente necessario all’esecuzione del contratto stesso. I dati anagrafici del cliente sono conservati per 10 anni dalla disdetta del contratto. I dati del cliente conservati a seguito disaster recovery saranno cancellati definitivamente 10 giorni dopo l’inserimento della disdetta fatti salvi diversi accordi presi in fase di sottoscrizione del servizio (back up di 1 mese). Il consenso all’invio di comunicazioni commerciali viene conservato per 2 anni.
Art. 7	Condizioni per il consenso	Il consenso prestato in fase di sottoscrizione del contratto è necessario per l’erogazione del servizio. Il consenso relativo al trattamento dei dati per l’invio delle comunicazioni commerciali è richiesto separatamente e può essere rifiutato.
Art. 13	Informazioni da fornire all’interessato al momento della raccolta dei dati	Clouditalia al momento della raccolta del dato dell’interessato fornisce tutte le informazioni richieste. Le stesse sono presenti ai seguenti link: http://www.clouditalia.com/index.php/it/privacy e http://www.clouditalia.com/index.php/it/privacy#informative-privacy
Art. 15-20	Diritti dell’interessato	Clouditalia garantisce i diritti dell’interessato (cliente) e in particolare: diritto all’accesso, rettifica, cancellazione e limitazione inviando una mail alla pec nimbus2011@legalmail.it Clouditalia comunicherà l’avvenuta modifica/cancellazione e non ostacolerà la trasmissione dei dati ad altro titolare del trattamento se richiesto dall'interessato.
Art. 28	Responsabile del trattamento	Clouditalia ha nominato un responsabile del trattamento che provvederà a mettere in atto tutte le misure per proteggere il dato personale dell’interessato, a cancellare e modificare il dato personale dell’interessato se da lui richiesto. Il responsabile del trattamento può essere contattato all’indirizzo pec privacyclouditalia@legalmail.it
Art. 30	Registri delle attività di trattamento	Clouditalia traccia le modalità di trattamento dei dati dell’interessato tramite un registro aggiornato dal Responsabile del trattamento. Su richiesta, il registro del trattamento, viene messo a disposizione dell’autorità competente.
Art. 32	Sicurezza del trattamento	I dati dei clienti sono conservati in strutture ad accesso protetto e controllato 24 ore su 24 per 365 giorni all’anno. I data center in cui sono conservati i dati del cliente hanno sistemi di condizionamento, antincendio e antintrusione (con accesso biometrico o password personale con scadenza breve) per conservare al meglio i dati del cliente. La distanza fra i due siti in cui sono attivi i servizi di disaster recovery (Milano ed Arezzo) garantisce di poter essere compliance alle disposizioni stabilite dal CNIPA. La connessione DWDM fra i due siti è dedicata a questa tipologia di servizi.
Art. 33, 34	Data Breach	In caso di violazione dei dati personali Clouditalia provvederà a comunicare il fatto all’Autorità di controllo entro 72 ore dal momento in cui ne è venuta a conoscenza. Comunicherà inoltre l’evento all’interessato senza indebiti ritardi, ma comunque entro le 72 ore se l'incidente è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Art. 35	Valutazione impatto privacy (DPIA)	Clouditalia ha effettuato un’analisi dei rischi relativi all’impatto sui diritti e le libertà dell’interessato relativamente alla gestione della privacy. L’analisi prevede inoltre le misure previste per affrontare i rischi e per diminuirne la probabilità di accadimento.
Art. 38	Responsabile della protezione dei dati	Clouditalia ha nominato un responsabile della protezione dei dati che provvederà a fornire consulenza al titolare del trattamento e al responsabile del trattamento. Fingerà inoltre da punto di contatto con l’autorità competente. Il responsabile del trattamento può essere contattato all’indirizzo pec privacyclouditalia@legalmail.it