Politica di conservazione e smaltimento dei dati

La Politica di conservazione e smaltimento dei dati (P14) stabilisce requisiti completi per la conservazione e lo smaltimento sicuro di tutti i dati dell’organizzazione lungo l’intero ciclo di vita, per garantire conformità, ridurre il rischio e supportare l’efficacia operativa. Questa politica si applica a tutta l’organizzazione e si estende a ogni patrimonio informativo fisico e digitale posseduto, trattato o conservato dall’azienda, inclusi quelli gestiti da terze parti, controllate e partner di esternalizzazione. Gli asset coperti includono file digitali, banche dati, e-mail e sistemi di backup, oltre a registrazioni cartacee e hardware dismesso. Lo scopo principale della politica P14 è definire controlli rigorosi sulla durata di conservazione dei dati in base a esigenze legali, normative e operative, e garantire la loro cancellazione permanente e sicura quando non sono più necessari. Applicando programmi di conservazione chiari e procedure di smaltimento rigorose, la politica supporta i requisiti di ISO/IEC 27001:2022, abilita una gestione delle registrazioni tracciabile e tutela riservatezza, integrità e disponibilità dei dati. In particolare, la politica aiuta l’organizzazione a prevenire l’accumulo non necessario di dati che potrebbe causare violazioni della protezione dei dati, inefficienze o un aumento del rischio aziendale. Ruoli e responsabilità sono chiaramente delineati nella politica: l’Alta Direzione approva e supervisiona la conformità; il Responsabile della sicurezza delle informazioni (CISO) possiede, definisce e monitora l’implementazione della politica; il Data Protection Officer (DPO) fornisce consulenza sulla protezione dei dati e convalida il trattamento dei dati personali; e i Proprietari delle informazioni garantiscono che i programmi siano giustificati e autorizzati. I team IT sono responsabili dell’implementazione dei controlli tecnologici, mentre tutti i dipendenti, contraenti e terze parti pertinenti sono tenuti a seguire le istruzioni di conservazione e smaltimento. I fornitori esternalizzati e i fornitori cloud devono rispettare le clausole dell’accordo di trattamento dei dati e fornire evidenze dell'audit di smaltimento su richiesta. I requisiti di governance prevedono la creazione e il mantenimento di un Master Data Retention Schedule (MDRS), riesaminato almeno annualmente, e l’approvazione dei metodi di smaltimento e dei certificati per tutti i dati scaduti. La politica applica periodi di conservazione guidati dalla classificazione, collegati alle esigenze aziendali e alle basi legali, e vieta esplicitamente la conservazione indefinita, orfana o non approvata. Disposizioni specialistiche affrontano la conservazione di backup e archivi, assicurando l’allineamento con gli obiettivi di ripristino in caso di disastro e il supporto alla cancellazione dei dati su richiesta ai sensi del GDPR o di altre leggi sulla protezione dei dati. I controlli di smaltimento sono applicati secondo NIST SP 800-88 o norme equivalenti, imponendo metodi di distruzione irreversibili e documentati sia per supporti digitali sia cartacei. Le procedure di conservazione legale prevalgono sui normali programmi di cancellazione in caso di contenzioso o indagine, e tutte le eccezioni alla conservazione pianificata richiedono valutazione del rischio e approvazione della direzione. Le attività di applicazione e conformità includono audit periodici, verifiche di conformità, segnalazione delle violazioni e misure disciplinari quando necessario. La politica richiede inoltre formazione e sensibilizzazione alla sicurezza delle informazioni continua per il personale e richiama la Politica di risposta agli incidenti (P30) per qualsiasi violazione o incidente di smaltimento. Riesaminando e aggiornando periodicamente la politica e sincronizzando i documenti collegati come le Politiche di controllo degli accessi e di gestione degli asset, l’organizzazione garantisce un approccio difendibile, efficiente e allineato alle normative e alla governance del ciclo di vita dei dati.