Incendio in un datacenter: siti web in tilt e spettro data breach

MILANO - Uno dei datacenter più grandi d’Europa, quello di proprietà di Ovh -  azienda di web hosting leader nel settore con 1,5 milioni di clienti nel mondo - è stato distrutto da un devastante incendio, verificatosi a Strasburgo nelle scorse settimane.

Nella notte tra il 9 e il 10 marzo scorso, la società francese ha comunicato che le fiamme avevano interessato tre dei quattro edifici di sua proprietà. Pur non essendoci state vittime, centinaia di siti sono andati in tilt; molti tra essi erano di aziende italiane.

Come ha raccomandato su Twitter lo stesso fondatore della Ovh, Octave Klaba, mentre l’azienda era impegnata a cercare di riattivare i server negli edifici andati a fuoco, i clienti sono invitati ad "attivare il Disaster Recovery Plan per la salvaguardia dei propri dati”, facendo temere che chi invece non avesse previsto una tale procedura per il recupero dei propri i dati potrebbe aver perso tutto il proprio patrimonio fatto di informazioni.

In attesa di vedere gli sviluppi sulle operazioni di ripristino in corso, l’incendio che si è abbattuto sul datacenter della Ovh ricorda quanto sia fondamentale per le aziende “preparare la guerra in tempi di pace” mettendo a punto un efficace “Disaster Recovery Plan”, ovvero quell’insieme di azioni, strategie e misure tecnologiche e organizzative necessarie al ripristino di infrastrutture, sistemi e persino singoli dati a fronte di emergenze o eventi che ne hanno intaccato la normale operatività.

Tra le misure ricomprese in un piano di recupero dei dati in caso di disastro, c’è naturalmente un efficiente sistema di backup, che però da solo non è sufficiente, perché il fatto di avere una copia dei dati ha di per sé scarso valore se poi non si riesce a utilizzarli rapidamente in una più ampia strategia di “business continuity”.

Oltre alla salvaguardia del patrimonio e all’importanza della continuità operativa delle attività aziendali, si aggiungono anche gli oneri che il Gdpr pone in capo ai titolari del trattamento in tema di data breach. Infatti, anche se spesso tali eventi sono riconducibili ad attacchi hacker o alla carenza di misure informatiche che espongono indebitamente i dati degli interessati, in realtà ai sensi dell’art.4 del Regolamento UE 2016/679 configura una violazione della sicurezza dei dati personali quella “che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati”.

Questo significa che la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità, costituisce a tutti gli effetti una situazione di data breach soggetta agli adempimenti degli articoli 33-34 del Gdpr riguardanti la notifica all’autorità di controllo entro 72 ore dal momento in cui ne il titolare ne viene a conoscenza, e quando la violazione comporta un rischio elevato per i diritti delle persone, anche la comunicazione a tutti gli interessati coinvolti.

Il rischio di sanzioni

Le violazioni di dati personali che devono essere obbligatoriamente notificate sono tutte quelle che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali, come ad esempio la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d'identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale.

Tutti motivi per cui, la Ovh adesso non dovrà fronteggiare solo l’ira di enti ed aziende clienti per il disservizio, ma per evitare sanzioni fino a 10 milioni di euro o fino al 2% del proprio fatturato totale annuo mondiale dovrà anche dimostrare all’autorità di controllo di aver adottato tutte le misure tecniche e organizzative adeguate per garantire e dimostrare la propria conformità al Gdpr.

(Articolo di Nicola Bernardi, presidente di Federprivacy)