Tendenze globali nel contesto: discussione delle normative internazionali sulla conservazione dei dati a lungo termine

La conformità alla conservazione dei dati è una sfida, indipendentemente dal settore. Semplifica e ottimizza la gestione dei dati migliorando al contempo la conformità alle normative

Conservazione dei dati—talvolta anche definita conservazione dei record—è l'archiviazione e la manutenzione di dati e record per un determinato periodo di tempo per soddisfare i requisiti aziendali, di audit e di conformità. Dal mantenimento di registri finanziari accurati e dalla conformità alle normative al disaster recovery e all'alimentazione dei motori analitici, le aziende dipendono da solide policy di conservazione dei dati per funzionare in modo ottimale.

L'adesione alle policy di conservazione dei dati dimostra che la tua azienda gestisce i dati in conformità con gli standard e le leggi del settore. Senza la conservazione dei dati, la tua azienda rischia di archiviare troppe (o troppo poche) informazioni per troppo tempo (o non abbastanza a lungo).

In questa guida esamineremo le tre categorie principali di requisiti di conservazione dei dati: normative governative, standard internazionali e normative specifiche del settore.

Perché la conservazione dei dati è fondamentale per la protezione dei tuoi dati?

La conservazione dei dati è essenziale per proteggere la tua azienda e gli interessi dei tuoi clienti. I dati aziendali spesso includono informazioni di grande valore in caso di controversie; una struttura completa di conservazione dei dati può far risparmiare alla tua azienda notevoli spese legali e tempo in caso di audit normativi, problemi fiscali, problemi di personale o azioni legali dei consumatori.

Inoltre, strategie efficaci di conservazione dei dati consentono alle aziende di offrire un servizio clienti migliore. L'utilizzo di dati di archivio per generare report consente l'identificazione delle tendenze e lo sviluppo strategico dei processi aziendali. La conservazione dei dati, pertanto, non riguarda solo la conservazione dei record, ma anche la creazione di una risorsa per la pianificazione futura.

Con aumentato privacy dei dati preoccupazioni a livello globale, le normative sui dati sono diventate più severe e complesse. Sebbene le leggi sui dati varino a livello internazionale e tra i settori, le linee guida di base sulla conservazione dei dati richiedono alle aziende di descrivere quali dati raccolgono, perché li raccolgono, identificare dove vengono mantenuti e dichiarare il termine di conservazione.

Normative governative sulla conservazione dei dati

Le leggi sulla conservazione dei dati variano notevolmente tra le nazioni, e persino al loro interno, con diversa intensità. Ad esempio, a causa del sistema federalizzato degli Stati Uniti, le leggi possono variare da stato a stato. D'altro canto, l'Unione Europea, in quanto organismo sovranazionale, stabilisce alcuni dei protocolli sui dati più rigorosi al mondo. Il cosiddetto "Effetto Bruxelles", in cui le normative dell'UE causano un effetto a catena in tutto il mondo, può far sì che le aziende con sede altrove continuino a rispettare le regole dell'UE. Ciò evidenzia una linea guida fondamentale in merito alla conservazione dei dati: assicurarsi di soddisfare gli standard di ogni paese in cui si opera.

Diamo un'occhiata ad alcuni dei principali attori conservazione dei dati regolamenti.

Stati Uniti

Gli operatori commerciali devono essere a conoscenza delle leggi federali e statali applicabili, quali:

• Bank Secrecy Act (BSA)
• Legge federale sulla gestione della sicurezza delle informazioni (FISMA)
• Legge sulla Commissione federale del commercio (legge FTC)
• Legge sugli standard del lavoro equo (FLSA)
• Health Insurance Portability e Accountability Act (HIPAA)
• Internal Revenue Service (IRS)

L'Electronic Communication Transactional Records Act impone inoltre ai fornitori di servizi di conservare tutti i registri per 90 giorni e di presentarli se richiesto da un ente governativo.

Svizzera

I requisiti di conservazione dei dati svizzeri sono definiti da diversi codici e ordinanze. Questi includono una legge sulla protezione dei dati, un codice penale, una legge sull'imposta sul valore aggiunto e l'ordinanza sulla contabilità e conservazione commerciale.

Le leggi sulla conservazione dei dati richiedono che le aziende (incluse le società sciolte) conservino i dati per 10 anni. Esiste un requisito di conservazione di 20 anni per i record relativi a beni immobili con implicazioni IVA.

Numeri di telefono cellulare, posizioni e dettagli identificativi del dispositivo sono alcuni dati che gli operatori di telefonia mobile devono conservare per sei mesi. Analogamente, i fornitori di servizi devono conservare i dati e-mail, inclusi tipi di connessione, accessi, identificazione utente, titolo e-mail e indirizzi IP.

Unione Europea

Il GDPR (Regolamento generale sulla protezione dei dati) dell'UE si concentra sulla distruzione dei dati personali dopo la fine del periodo di consenso, piuttosto che sulla definizione di un periodo di conservazione standard. Le normative sui dati riguardano tutte le transazioni effettuate nell'UE.

Le istituzioni o le aziende non possono conservare i dati personali che identificano un individuo più a lungo del necessario per lo scopo iniziale della raccolta. Ci sono eccezioni nel caso di dati conservati per scopi scientifici, storici o di interesse pubblico; i dati resi anonimi possono anche essere conservati indefinitamente.

I dettagli delle informazioni raccolte, utilizzate o archiviate devono essere forniti esplicitamente al soggetto interessato. Secondo il GDPR, tutte le organizzazioni devono anche sviluppare una politica di conservazione dei dati che descriva in dettaglio il loro processo di gestione dei dati personali. Le multe per violazione raggiungono un massimo di 20 milioni di euro o il 4% del fatturato globale, più un possibile risarcimento danni da parte del cliente.

Australia

Le policy di conservazione dei dati in Australia sono in gran parte orientate alle telecomunicazioni per scopi di sicurezza nazionale e indagini penali. Le normative australiane richiedono ai provider di servizi mobili di conservare i metadati per due anni, tra cui informazioni sul titolare dell'account, tipo di comunicazione, durata, posizione e servizi di telecomunicazione.

Lo sviluppo della tecnologia e il cambiamento dei modelli aziendali hanno portato le aziende di telecomunicazioni a non conservare più i dati per un tempo sufficientemente lungo. La mancanza di dati e la conservazione incoerente hanno seriamente ostacolato le indagini penali. Nel 2017 sono state quindi emanate nuove leggi con sovvenzioni disponibili per aiutare i fornitori di servizi di telecomunicazione idonei a soddisfare le normative sulla conservazione dei dati.

Standard internazionali per la conservazione dei dati

L'ISO/IEC è un comitato tecnico congiunto che standardizza le norme in materia di tecnologie dell'informazione e della comunicazione a livello internazionale. I criteri di regolamentazione nelle seguenti categorie di tecnologie dell'informazione e della comunicazione sono essenziali per determinare la politica e le strategie di conservazione dei dati.

ISO / IEC 27040

Gli aspetti di sicurezza informatica dei sistemi e delle infrastrutture di archiviazione dati sono stati trascurati a causa della scarsa familiarità con la tecnologia di archiviazione e di una limitata comprensione dei rischi intrinseci e dei concetti di sicurezza di base. Questo standard fornisce una guida tecnica dettagliata sulle tecniche di archiviazione e sicurezza per mitigare violazioni dei dati, modifiche di configurazione, furti e altri abusi dei dati e quindi migliorare la protezione della conservazione dei dati.

ISO 9001

Lo standard di qualità ISO 9001 si concentra sulla manutenzione e conservazione di documenti e registrazioni. Secondo lo standard, un documento descrive cosa deve essere fatto. Poiché questo può cambiare, i documenti vengono mantenuti. I record indicano cosa è stata fatto. Poiché questo non può cambiare, vengono mantenuti.

Lo standard definisce i requisiti per il controllo di queste informazioni, tra cui il tipo di dati, le approvazioni di revisione dei documenti, la distribuzione delle informazioni e la gestione dei documenti obsoleti.

ISO 9001 e ISO 14001

Questo standard riguarda il repository di terze parti attendibile (TTPR) per i record digitali. I requisiti specificano le condizioni per i servizi di custodia dati autorizzati per salvaguardare in modo affidabile i record digitali come fonte di prova durante i periodi di conservazione dell'obbligo legale. Le normative si applicano sia al settore pubblico che a quello privato.

ISO / IEC 27001

ISO/IEC 27001 si concentra sulla gestione della sicurezza delle informazioni per affrontare specificamente le sfide della sicurezza informatica. Fornisce un framework per l'implementazione di un sistema di gestione della sicurezza delle informazioni per garantire la riservatezza e l'integrità di tutti i dati aziendali durante il periodo di conservazione dei dati. Ciò include informazioni finanziarie e sui dipendenti, proprietà intellettuale e dati gestiti da terze parti.

Lo standard include linee guida per le organizzazioni per:

• Migliorare la resilienza contro le minacce informatiche
• Fornire un framework di archiviazione dati gestito centralmente
• Rispondere alle minacce alla sicurezza
• Proteggere la riservatezza, la disponibilità e l'integrità dei dati

Sebbene non sia obbligatoria, la certificazione degli standard ISO/IEC offre notevoli vantaggi alle organizzazioni, semplificando la conservazione e la gestione dei dati e rassicurando i clienti circa il rispetto di determinati criteri di gestione dei dati.

Normative del settore relative alla conservazione dei dati

I settori hanno esigenze di dati diverse e quindi variano nel modo in cui raccolgono e gestiscono le informazioni sensibili. Mentre un'ampia gamma di linee guida per la gestione dei dati si applica alla maggior parte dei settori, ci sono anche normative sui dati molto specifiche applicabili a istituzioni finanziarie, sanitarie e farmaceutiche.

Standard per la sicurezza dei dati del settore delle carte di pagamento (PCI-DSS)

Gli standard di sicurezza PCI sono requisiti tecnici e operativi per proteggere i dati dei titolari di carte di debito e di credito da furti e frodi. Gli standard si applicano a qualsiasi persona o azienda che archivi, elabori o trasmetta dati dei titolari di carte. Il PCI-DSS include regolamenti per applicazioni e dispositivi utilizzati nell'elaborazione delle transazioni.

I log di controllo, la gestione dei log e la conservazione dei log sono tutti aspetti chiave dei requisiti standard. I log di controllo devono essere conservati per almeno 12 mesi. Ulteriori best practice per mantenere la conformità e proteggere la sicurezza dei dati archiviati includono installazioni di firewall, crittografia end-to-end e software antivirus, nonché un rigoroso monitoraggio degli accessi.

California Privacy dei consumatori Legge (CCPA)

Il CCPA riguarda le aziende che operano in California. Più specificamente, si applica a quelle con un fatturato annuo lordo di $ 25 milioni o più, che elaborano le informazioni personali di oltre 100,000 residenti in California, o quelle per cui almeno il 50% del fatturato deriva dalla vendita delle informazioni personali dei residenti.

Il CCPA dà ai consumatori il controllo sulle informazioni che le aziende raccolgono, inclusa la possibilità di rinunciare alla condivisione di informazioni personali e all'eliminazione dei dati raccolti. Dà inoltre ai consumatori il diritto legittimo di sapere quali informazioni un'azienda raccoglie e limita l'uso di tali informazioni raccolte.

Legge Sarbanes-Oxley (SOX)

SOX riguarda la registrazione e la rendicontazione delle attività finanziarie aziendali per prevenire scandali contabili e perdite finanziarie degli investitori. La legge si applica a qualsiasi società pubblica negli Stati Uniti.

SOX richiede la conservazione dei documenti di revisione e audit per sette anni dopo la conclusione della revisione o dell'audit. In alcuni casi, la legge richiede la conservazione permanente dei record.

Un sistema interno di sicurezza dei dati e il controllo dei registri finanziari sono essenziali per mantenere un reporting finanziario accurato. La legge richiede che un revisore indipendente verifichi l'accuratezza delle informazioni, inclusa la conferma della solida struttura finanziaria interna di un'azienda.

Health Insurance Portability e Accountability Act (HIPAA)

Questa legge non riguarda esclusivamente le cartelle cliniche, ma stabilisce anche le norme di conservazione dei dati per vari altri documenti correlati all'HIPAA relativi a entità coperte e soci in affari. È importante che, anche se non si tratta specificamente di cartelle cliniche, si verifichi se i dati acquisiti possono rientrare nella giurisdizione dell'HIPAA.

Le normative HIPAA richiedono che le entità coperte e i soci in affari conservino la documentazione specificata per un minimo di sei anni. L'Office for Civil Rights (OCR) del Department of Health and Human Services (HHS) può richiedere documenti in qualsiasi momento durante un audit di un'entità coperta o di un socio in affari.

Tenuta dei registri nel settore alimentare e delle bevande (FDA)

A seconda di dove operano nella supply chain le aziende alimentari e delle bevande, potrebbero dover legalmente registrare, mantenere e conservare la documentazione che dimostri le pratiche industriali appropriate. La documentazione può riguardare:

• Produzione
• In lavorazione
• Movimentazione e imballaggio
• Distribuzione e detenzione
• Ricezione e fornitori
• Gli acquirenti
• Attività interne

Tali registrazioni facilitano la tracciabilità nel caso in cui emergano irregolarità e problemi di sicurezza alimentare.

Conservazione dei documenti nel settore farmaceutico

Le aziende farmaceutiche devono legalmente mantenere e conservare la documentazione relativa alla produzione, alla lavorazione, al confezionamento, alle attività interne, alla distribuzione e agli acquirenti di ogni lotto. Ciò consente il tracciamento del lotto in caso di irregolarità.

Questi record di produzione, controllo e distribuzione dei lotti devono essere conservati per almeno un anno dopo la data di scadenza del lotto. Il periodo di conservazione dei dati per i farmaci da banco (OTC) privi di data di scadenza è di tre anni dopo la distribuzione del lotto.

Il periodo di conservazione suggerito per le sperimentazioni cliniche e i lotti dimostrativi è il ciclo di vita più un anno. Il ciclo di vita si riferisce all'intero processo dai requisiti utente e dalla progettazione alla realizzazione, qualificazione e manutenzione. I record di formazione devono essere conservati per sette anni.

Semplifica la conformità alla conservazione dei dati con SOLIX

Mantenere la conformità alla conservazione dei dati può essere impegnativo, indipendentemente dal settore in cui si opera. Ma avere la giusta soluzione di gestione dei dati può migliorare significativamente la conformità e l'accessibilità dei dati.

SOLIXCloud è una piattaforma multi-cloud che raccoglie, gestisce e governa la conservazione dei dati aziendali. La piattaforma è sicura, conforme e conveniente; con controlli automatizzati basati sui ruoli, puoi limitare l'accesso ai dati alle parti autorizzate e rendere i dati disponibili ai dipendenti e ai professionisti legali interessati da qualsiasi luogo e in qualsiasi momento.

Mettiti in contatto oggi per scoprire come semplificare e ottimizzare la gestione dei dati, risparmiando sui costi e migliorando la conformità alle normative sulla conservazione dei dati.