Politica di conservazione e smaltimento dei dati - PMI

La Politica di conservazione e smaltimento dei dati - PMI (Politica P14S) è progettata specificamente per le Piccole e Medie Imprese (PMI), riconoscendo i vincoli e le responsabilità peculiari che tali organizzazioni affrontano. Questa politica è completamente adattata alle PMI, come dimostra il coinvolgimento del Direttore Generale come proprietario della politica, senza presupporre ruoli specialistici come Centro operativo di sicurezza (SOC) o Responsabile della sicurezza delle informazioni (CISO), pur garantendo la conformità a framework di riferimento come ISO/IEC 27001:2022, GDPR e normative correlate. Lo scopo principale di questa politica è stabilire regole chiare e applicabili per la conservazione e lo smaltimento sicuro delle informazioni, assicurando che le registrazioni siano conservate solo per il tempo richiesto da legge, contratti o necessità aziendali. Una volta soddisfatti tali requisiti, le informazioni devono essere distrutte in modo irreversibile. La politica affronta l’importanza di ridurre l’esposizione legale e il rischio operativo prevenendo la conservazione non autorizzata o ridondante dei dati. Evidenzia inoltre i benefici di una conservazione e di uno smaltimento ben governati per la preparazione all'audit, la riduzione dei costi e il miglioramento delle prestazioni dei sistemi. Per le PMI, la politica rappresenta un mezzo pratico per gestire responsabilmente sia i dati digitali sia quelli cartacei, indipendentemente dalla dimensione del team IT. L’ambito completo include tutti i tipi di registrazioni, documenti aziendali, log operativi, file finanziari, dati personali e si applica a ogni supporto di archiviazione, dalle unità locali e dai sistemi ospitati nel cloud fino all’archiviazione cartacea e ai sistemi di backup. Tutti i dipendenti e collaboratori esterni e i fornitori terzi di servizi che trattano i dati dell’organizzazione sono vincolati da questa politica. La politica copre ogni fase del ciclo di vita dei dati, dalla creazione fino allo smaltimento o alla distruzione sicuri. Una caratteristica chiave è la chiara definizione di ruoli e responsabilità. Il Direttore Generale fornisce l’approvazione, assicura l’allineamento con il rischio legale e aziendale e gestisce eccezioni e conservazione legale e sospensione della cancellazione. I Proprietari degli asset informativi designati sono assegnati per categoria di dati e sono responsabili della classificazione, della determinazione dei periodi di conservazione e dell’autorizzazione delle cancellazioni; supportano inoltre i processi di audit. Il Fornitore di supporto IT o il Responsabile IT interno ha il compito di configurare i sistemi per le regole di conservazione, la registrazione dello smaltimento e la cancellazione sicura, inclusi sistemi di backup e archivi. Dipendenti e collaboratori esterni devono rispettare la politica, evitare conservazioni improprie, segnalare account orfani e utilizzare solo sistemi approvati per l’archiviazione dei dati. I requisiti di governance principali ruotano attorno al mantenimento di un Registro di conservazione dettagliato che elenchi categorie di registrazioni, periodi assegnati, metodi di smaltimento, giustificazione legale e proprietari dei dati. Questo registro deve essere riesaminato annualmente o in presenza di trigger legali o aziendali pertinenti. I metodi di smaltimento sono selezionati in base alla classificazione dei dati, utilizzando procedure sicure come triturazione a taglio incrociato, cancellazione crittografica o distruzione fisica dei supporti. La conservazione legale e sospensione della cancellazione è descritta in modo esplicito: una volta applicata, impedisce la cancellazione indipendentemente dal periodo di conservazione pianificato e richiede un riesame mensile. La politica impone inoltre la formazione del personale e l’aggiornamento annuale per garantire la consapevolezza. Le eccezioni sono strettamente controllate, con processi di documentazione, approvazione, riesame e scadenza giustificabile. I meccanismi di applicazione includono audit regolari, controlli a campione e conseguenze rigorose per le violazioni, fino alla cessazione del contratto o alla segnalazione regolatoria in caso di gestione impropria dei dati personali. In definitiva, questa politica garantisce che una PMI possa operare in modo legalmente conforme, verificabile e con uso efficiente delle risorse, anche in assenza di ruoli avanzati di sicurezza IT. È progettata per allinearsi a ISO/IEC 27001:2022 e alle leggi sulla protezione dei dati, fornendo alle PMI una base solida per la gestione del ciclo di vita dei dati senza complessità non necessarie.