Blog
Segurança de dados

GDPR e backups: como lidar com solicitações de exclusão?

Willem Dewulf
21 Jul
2023
5
leitura mínima

Desde a introdução do GDPR, os backups têm sido um tópico muito debatido. Muitas organizações tentaram descobrir o que é exigido de sua estratégia de backup e GDPR para garantir a conformidade.

Anteriormente, abordamos algumas das principais implicações do GDPR em seus backups na nuvem. Nesta postagem do blog, abordaremos dois problemas que estão em jogo com os backups e com o direito de ser esquecido.

Uma solicitação de exclusão inclui a remoção de dados dos backups?

O GDPR permite que um cidadão da UE peça a uma organização que remova qualquer registro de dados pessoais.

No último ano, várias autoridades supervisoras da UE divulgaram recomendações sobre como lidar com esse problema de GDPR e backup. A autoridade dinamarquesa, a Inspetoria de Dados, afirma que a exclusão dos dados do registro dos backups é obrigatória “se isso for tecnicamente possível”. afirma que os dados do registro não precisam ser excluídos de um backup.

Além disso, de acordo com um blog da Quantum, os franceses Comissão Nacional de Informática e Liberdade (CNIL) disse que “as organizações terão que explicar claramente ao titular dos dados (usando uma linguagem clara e simples) que seus dados pessoais foram removidos dos sistemas de produção, mas uma cópia de backup pode permanecer, mas expirará após um determinado período de tempo”. Recomendamos que nossos clientes do Pro Backup comuniquem isso da forma mais clara possível aos seus clientes. Além disso, eles também devem especificar claramente o tempo de retenção em sua comunicação com o titular dos dados.

E se um registro excluído for restaurado por meio de um backup antigo?

O segundo problema relacionado ao GDPR e ao backup é que, se uma organização excluir um registro e depois se recuperar de um backup antigo (contendo o registro agora excluído), o registro excluído será reanimado e colocado novamente em produção, tornando a organização incompatível.

Portanto, aconselhamos nossos clientes a manter um índice de exclusões solicitadas — usando marcadores não identificáveis, como um número de linha do banco de dados em vez de detalhes pessoais — que correspondem ao tempo de retenção de um determinado backup. Dessa forma, se a recuperação exigir o uso de um backup antigo contendo registros agora excluídos, a organização poderá excluir novamente os registros.

Compartilhe esta postagem