Come garantire la conformità al GDPR grazie alla cancellazione dei dati dagli ambienti aziendali

L'introduzione del GDPR nel 2018 ha costretto le organizzazioni a revisionare e migliorare le proprie policy in materia di cancellazione dei dati. Il GDPR non è solo "il diritto all'oblio"; si applica anche per prevenire le perdite di dati a tutte le aziende che svolgono attività commerciali all'interno dell'Unione Europea o dall'esterno con una società dell'UE.

Tuttavia, sembra esserci ancora molta confusione riguardo ai protocolli da seguire per la cancellazione dei dati: questo rende le aziende ancora più vulnerabili e esposte al rischio di violazioni dei dati. In questo articolo vogliamo fornire tutte le informazioni necessarie per garantire che la tua azienda rimanga conforme alle normative quando cancelli i dati da ambienti attivi.

Articolo 32

L'articolo 32 del nuovo regolamento richiede alle aziende di "introdurre una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento dei dati personali all'interno dell'azienda". L'implementazione di un'adeguata procedura vale non solo per l'elaborazione dei dati, ma anche per il processo di selezione e approvvigionamento delle soluzioni IT (sia software che hardware) in uso.

Quali azioni era necessario intraprendere?

Tutti i manager IT avrebbero dovuto adottare tutte le misure necessarie per garantire che nessun dato personale potesse uscire fuori dall'azienda. Tra queste:

• la pseudonimizzazione e la cifratura dei dati personali,
• la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
• la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
• una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Un altro punto molto importante è stato implementato nell'articolo 32 del nuovo regolamento:

"Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati".

In breve, l'articolo 32 richiede un'adeguata analisi dei rischi che possono derivare da una speciale procedura con una determinata tecnologia per i dati personali. Il dipendente responsabile deve effettuare una valutazione dell'impatto della protezione dei dati e verificare se una determinata procedura – in particolare quando si utilizza una nuova tecnologia – espone a un rischio piccolo o grande i diritti degli individui in relazione ai dati.

Una delle principali modifiche e aggiunte alle precedenti leggi nazionali degli stati membri, riguarda il fatto che ora le aziende devono riferire una perdita di dati entro 72 ore dal momento in cui questa si è verificata.

Inoltre, in caso di violazione, le sanzioni sono pesanti anche per l'utilizzo non autorizzato dei dati personali: sono previste multe fino a € 20 milioni o pari al 4% del fatturato mondiale totale annuo (a seconda di quale dei due sia maggiore) oppure sanzioni fino a € 10 milioni o il 2% del fatturato mondiale totale annuo (qualunque dei due sia maggiore).

La non corretta cancellazione sicura è ancora un problema

A due anni dalla sua implementazione, alcune aziende continuano a trascurare o dimenticare di cancellare i file esistenti da computer desktop, laptop, unità esterne. Ciò è spesso dovuto alla scarsa conoscenza di quali siano i metodi corretti per la cancellazione dei dati e alla mancanza di accesso a strumenti efficaci che consentono loro di eliminare i dati in modo sicuro e permanente nei loro ambienti IT attivi. Pertanto, i dati sensibili di molte organizzazioni vengono esposti a possibili violazioni o attacchi.

Per molte organizzazioni, la cancellazione dei dati non è ancora in cima alle priorità di sicurezza dei loro dipartimenti IT; ciò non sorprende da quando gli attacchi informatici sono diventati una sfortunata realtà nel mondo odierno connesso digitalmente. Tuttavia, come discusso in precedenza, il GDPR rende un requisito legale per le organizzazioni garantire che siano in atto pratiche di cancellazione dei dati corrette e sicure.

Tuttavia, molti dipartimenti IT non hanno nè le conoscenze nè la formazione necessaria in merito alla  differenza tra "eliminazione" e "cancellazione" dei dati. In uno studio condotto da Blancco - 'Delete vs Erase': How to wipe files in Active Environments  è emerso che oltre la metà (51%) dei 400 intervistati pensava che svuotare il cestino era sufficiente per cancellare i propri dati dai loro computer desktop / computer portatili in modo permanente. Un altro risultato, altrettanto preoccupante, un altro 51% ha ritenuto che effettuare una formattazione rapida o completa fossero soluzioni sufficienti per distruggere definitivamente i propri dati.

Senza precise competenze né un’adeguata conoscenza del processo di cancellazione sicura dei dati, le aziende espongono i propri dati e informazioni sensibili a rischio di potenziali violazioni.

Per aiutarti a migliorare e/o adottare le corrette procedure per cancellare i dati in modo sicuro e permanente, Ontrack ha creato per te questa lista di suggerimenti.

1. Automatizza il processo di cancellazione

Ogni utente dovrebbe eseguire questa procedura sul proprio cestino ogni volta che si disconnette dal sistema. Automatizzando questo processo, la tua azienda può assicurarsi di seguire una corretta policy di gestione ed eliminazione dei dati. Questo approccio permetterà di ridurre qualsiasi incertezza o rischio relativo alla cancellazione sicura dei dati dai laptop o desktop dei tuoi dipendenti.

2. Pianifica l'operazione "shred free disk space"

Questa operazione dovrebbe essere prevista su ogni laptop e desktop di proprietà dell’azienda e utilizzato dai dipendenti ogni volta che vengono programmati aggiornamenti o patch. In questo modo, avrai la certezza che i dati delle applicazioni e tutte le altre informazioni digitali eliminate in modo non sicuro e non definitivo verranno invece distrutte in modo permanente.

3. Cancella automaticamente i file temporanei

L’automatizzazione dei processi di cancellazione  di file temporanei garantirà all'azienda la regolare e sicura eliminazione di informazioni sensibili. In questo modo verranno eliminati anche i dati degli utenti rimasti nel sistema come ad esempio la cache del browser su cui si trovano spesso informazioni vitali per il business.

4. Cancella i file creati in locale e salvali in modo sicuro

Eliminare i file utente creati in locale a cadenza regolare e incoraggiare i dipendenti  ad archiviare i propri dati in una repository centrale aiuta a ridurre il rischio di violazione delle informazioni riservate dell’organizzazione.

5. Individua e autorizza utenti “esperti”ad effettuare la cancellazione dei dati

Uno degli elementi chiave delle policy IT è l’individuazione di utenti all'interno dell’azienda che verranno autorizzati ad eseguire la cancellazione sicura dei file dal sistema. Questi utenti, che possiamo definire “esperti”, giocano un ruolo fondamentale per la sicurezza dell’azienda: a loro spetta infatti il compito di individuare i dati memorizzati in modo errato dagli altri utenti e cancellarli in modo definitivo prima che possano cadere nelle mani sbagliate.

6. Adotta soluzioni che certifichino i processi di cancellazione utilizzati

In caso di audit, l’utilizzo di soluzioni e procedure di cancellazione certificate permetterà alla tua azienda di essere completamente conforme a quanto richiesto dalle normative in materia di protezione e sicurezza dei dati.  In questo caso i servizi di verifica di cancellazione dei dati possono supportare la tua azienda a valutare l’accuratezza e la correttezza delle procedure adottate.

Per maggiori informazioni sulla cancellazione dei dati contatta i nostri specialisti.