Dove stiamo archiviando i dati?
Questa è la quarta domanda da farsi durante un audit privacy.

Il GDPR richiede di documentare dove si conservano i dati personali dei cittadini dell’UE. Ai fini di questa verifica, “dove” si riferisce sia a una posizione geografica sia a quale tipo di meccanismo (modalità/supporto) si sta utilizzando per archiviarli, indipendentemente dal fatto che si tratti di e-mail, documenti, database, backup, elenchi di e-mail, ecc.

Quindi, dopo aver mappato dove sono raccolte le informazioni e cosa viene raccolti, occorre capire dove il tutto viene memorizzato.
Ad esempio un avviso del genere su un form di raccolta dati può apparire eccessivo, ma è corretto ai fini della compliance al GDPR
“Questo modulo registra gli indirizzi e-mail in un database memorizzato su un server nel nostro ufficio di Milano.”

Domande utili di approfondimento

Dove sono archiviati i dati?
Viene realizzato il backup?
Sono utilizzate applicazioni cloud?
Hai un regolare contratto con il tuo provider dei servizi di archiviazione?
Il tuo provider dei servizi di archiviazione dispone di un adeguato sistema di sicurezza e protezione dati?
Chi ha accesso ai dati?