Go to Top

GDPR – Sarà necessario cancellare i dati internamente all’azienda?

Cancellazione sicura dei dati in loco

Come descritto in uno dei nostri post il  Regolamento Europeo per la Protezione dei Dati Personali (GDPR – Global Data Protection Regulation) è divenuto legge a tutti gli effetti e con questo nuovo regolamento molte aziende stanno adottando nuovi piani e regole per garantire sia la protezione dei propri dati sia la business continuity.  Poiché le sanzioni in caso di non conformità a quanto stabilito dalla legge sono ora molto ingenti e per molte aziende potrebbero avere un effetto deletereo sulla sopravvivenza stessa dell’organizzazione (si parla di cifre pari al 4% del fatturato mondiale dell’azienda)  è bene che venga analizzato ogni singolo aspetto della norma di modo da modificare, se necessario, le policy interne sul tema.

In alcuni Paesi come Francia e Germania non è cambiato molto rispetto alle leggi in vigore sulla protezione dei dati dal momento che queste sono già molto rigorose. In altri Paesi, invece,  sarà necessario rafforzare la protezione in vigore.

Uno dei principali aspetti di questa nuova legge che entrerà in vigore nella primavera del 2018 è come abbiamo detto quello di assicurarsi che venga garantita e rispettata la protezione dei dati personali. Ad esempio, nel nuovo Regolamento il diritto all’oblio viene ancor più rafforzato: questo significa che le imprese – nel caso non ci siano altri interessi legali in azienda – dovranno ora effettuare la cancellazione sicura dei dati personali dei cosiddetti soggetti interessati.
Esistono inoltre altre leggi nazionali o internazionali che richiedono alle aziende di assicurarsi che i dati personali o riservati riguardanti partner commerciali, questioni finanziare o di tassazione o anche legate alla sicurezza non finiscano nelle mani sbagliate. La maggior parte di queste leggi che hanno a che fare con queste problematiche hanno scadenze rigide dopo le quali i dati devono essere eliminati in modo sicuro.

Per questo motivo il piano inerente i processi per la gestione dei dati deve coprire non solo le questioni che riguardano lo storage delle informazioni  durante il loro ciclo di vita ma anche includerne il termine con la cancellazione o la distruzione dei dati.

Questo aspetto pone molte aziende davanti ad un quesito serio che ha anche un risvolto economico: la cancellazione di questi dati deve essere effettuata all’interno dell’azienda (in-house) o può essere fatta anche all’esterno dell’organizzazione?

Sebbene effettuare tale processo all’esterno dell’azienda abbia diversi vantaggi quando si decide di affidarsi ad un service provider esterno per la cancellazione dei dati e lo smaltimento fisico dei dispositivi di memoria su cui le informazioni erano archiviate in alcuni casi questa potrebbe non essere la soluzione migliore.

In diverse situazioni la cancellazione sicura dei dati in-house potrebbe essere l’unica soluzione possibile. Le motivazioni che portano a questa scelta sono il risultato sia di esigenze in termini di sicurezza  sia di obblighi legali.

Di seguito alcune delle più comuni motivazioni per cui alcune aziende non possono procedere con la cancellazione sicura dei dati all’esterno della propria organizzazione.

  1. Leggi nazionali potrebbero richiedere alle aziende che i dati non lascino mai l’azienda stessa. A molte organizzazioni federali di Paesi occidentali è proibito per legge rendere disponibili i dati personali a qualcuno di esterno al dipartimento o fuori dallo specifico progetto. Settori particolarmente sensibili come l’energetico, il finanziario o simili sono soggetti a rigide leggi per la protezione contro attacchi digitali o terroristici alle infrastrutture nazionali.
  1. Alcune aziende potrebbero avere il timore che le informazioni aziendali riservate che vengono affidate a provider specializzati per la cancellazione dei dati possano venire in qualche modo violate e rese pubbliche. Questa paura deriva da diversi casi in cui alcuni HDD non erano stati cancellati in modo corretto e, per peggiorare ulteriormente le cose, venduti su piattaforme di e-commerce su internet da quelli che si definivano “specialisti nella cancellazione dei dati”.
  1. Le organizzazioni potrebbero non fidarsi completamente dei provider di servizi di cancellazione perchè non hanno la certezza che le informazioni, seppur cancellate in maniera sicura dai dispositivi, non vengano copiate prima del processo e quindi cedute a terze parti.
  1. Le aziende temono che se i dati vengono rubati mentre si effettua la loro cancellazione sicura l’unica tutela a loro disposizione è quella di avviare una causa legale nei confronti del provider. Del servizio. Indipendentemente da quello che potrebbe essere l’esito di tale causa l’azienda sosterrebbe comunque un danno e – ancor più grave –  una perdita di reputazione.
  1. Le aziende e gli amministratori IT conoscono i sistemi di storage in uso e i dati in essi memorizzati poiché sono proprio loro a gestire le informazioni ogni giorno. Per questo motivo molte aziende vedono i propri dipendenti come la migliore garanzia che i dati saranno cancellati in modo sicuro e distrutte solo le informazioni richieste e che il processo verrà svolto senza errori.
  1. Da un lato le aziende e i responsabili di dipartimento vogliono che il lavoro sia portato a termine e che venga fornito un certificato che attesti l’avvenuta cancellazione dei dati, dall’altro desiderano poter avere il controllo sull’intero processo. Sono convinti che effettuare la cancellazione sicura dei dati all’interno dell’azienda riduce le possibilità che si verifichino violazioni dei dati o errori. Inoltre, la presenza di uno specialista presso la loro sede è per le aziende sinonimo di sicurezza in quanto questi può fornire consigli utili e identificare cosa potrebbe essere stato dimenticato nel piano corrente di cancellazione.

Tuttavia c’è un’insidia nel cancellare le informazioni e i dati non più necessari all’interno dell’organizzazione: come per ogni processo IT c’è molto lavoro da fare prima che i dati vengano eliminati definitivamente come ad esempio il mantenimento dell’infrastruttura IT, l’acquisizione dei software di cancellazione e di gestione di tale processo, l’amministrazione dei report di cancellazione e il tenere traccia dei diversi aggiornamenti delle componenti software e hardware. Tutto questo richiede molto tempo da dedicare ad un solo processo.  È quindi la variabile tempo l’elemento necessario per questo genere di attività.

Per questa ragione in molti casi è molto più efficace ed economico richiedere l’intervento presso la propria sede di uno specialista per effettuare la cancellazione dei dati.  Kroll Ontrack ad esempio prevede dei servizi nei quali i nostri specialisti si recano presso le aziende per effettuare la cancellazione sicura dei dati non più necessari da dispositivi di storage come hard disk o nastri magnetici.
Per maggiori informazioni sulla cancellazione sicura visitate il nostro sito cliccando qui.

Fonte immagine: Bernd Kasper/ pixelio.de

One Response to "GDPR – Sarà necessario cancellare i dati internamente all’azienda?"

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *