Distruzione sicura dei dati: Accountability e GDPR

Quando si parla di cyber security è necessario prestare molta attenzione alla distruzione sicura dei dati. Che si tratti di un hard disk contenente informazioni o un archivio vero e proprio su supporto magnetico, è bene assicurarsi sempre che ciò che deve essere distrutto non sia poi recuperabile da terzi.

Cosa prevede la legge: Regolamento 679

La data protection è una delle tematiche più discusse degli ultimi anni, per tale motivo una svolta fondamentale c’è stata con il Regolamento 2016/679 che ha di fatto proposto una normativa per la gestione della protezione dei dati personali, GDPR. Questa ha permesso ai titolari dei dati di avere pieno controllo su di essi, anche dopo il processo di trattamento da parte di terzi. All’interno dello stesso c’è l’esplicita argomentazione sull’acquisizione, conservazione eliminazione dei dati.

Cosa si intende per dato? Quando si parla di dati spesso si fa erroneamente riferimento ad informazioni personali, in realtà sono incluse tutte le informazioni che ineriscono una persona e la rendono di fatto identificabile. Caratteri fisici, identità, informazioni economiche, sociali, culturali tutto rientra nel dato e quindi può essere oggetto di violazione.

Nel GDPR si parla di distruzione dei dati nel senso che il titolare può chiedere a chi detiene le informazioni di cancellare il contenuto. Questo a sua volta deve agire eliminando in modo permanente e sicuro i dati, avendo cura di realizzare un report che attesti l’avvenuta cancellazione.

Nella cybersecurity diventa quindi preminente parlare di accountability ovvero di responsabilità. Per la prima volta con questo regolamento, il titolare di un trattamento dei dati diventa responsabile dal punto di vista operativo e tecnico. Anche se appariva come un principio astratto, nella definizione della cyber security si è passati ad una concretizzazione dell’impianto normativo. In particolare nell’articolo 32 si fa esplicito riferimento alla sicurezza dei dati e alle misure tecniche ed organizzative che devono essere sviluppate per prevedere e contenere il rischio.

Anche per questo è stata posta la figura del Garante che è il referente dell’accountability e permette di avere un controllo totale nel mondo della sicurezza online. Oggi i siti internet devono passare per delle regolamentazione specifiche, ci sono degli obblighi previsti dalla legge ma anche delle implementazioni da seguire che aiuterebbero ad educare tutto il personale alla tutela dei dati sensibili. Oltre ad un percorso di adeguamento previsto dalla legge è utile affidarsi a professionisti del settore che possano occuparsi della cancellazione dei dati, della conservazione e della creazione dei report specifici come Data Storage Security in grado di garantire il pieno rispetto della normativa e la totale gestione dei dati raccolti. Sarebbe utile inoltre prevedere un corso di cyber security per i dipendenti che spesso, nonostante ormai si viva in un mondo completamente digitalizzato, sono fuori da tutte le pratiche utili per la sicurezza dei loro profili personali e anche dei dati con cui lavorano ogni giorno.

Siamo costantemente esposti a phishing per email, malware di ogni tipo a livello privato e soprattutto professionale. Questo genere di problematica non solo può determinare seri e gravi danni al proprio business ma soprattutto coinvolgere un aspetto legislativo che molti ignorano del tutto.

Diritto all’oblio: la garanzia della privacy

Quando si parla di diritto all’oblio si richiama il diritto all’anonimato, ovvero alla cancellazione dei dati personali in tutti i campi di applicazione e anche alla cancellazione di ogni elemento relativo alla propria persona diffuso in modo proprio o improprio.

L’articolo 17 del GDPR parla di diritto alla cancellazione ovvero la possibilità per il titolare del diritto a richiedere la cancellazione di certe informazioni. Questa richiesta può essere avanzata in qualunque momento, quando ad esempio i dati non sono più necessari, quando l’interessato ha cambiato idea, quando questo pensa che non sussista alcun motivo per detenere i propri dati, quando questi sono stati trattati in modo illecito, quando sono stati raccolti in modo fuorviante o quando sono stati resi noti. La lista è molto lunga e dettagliata, tuttavia l’azienda non può opporsi, pena un decorso legale lungo che darà comunque ragione al titolare dei dati.

Per questo motivo, al fine di non ritrovarsi invischiati in una problematica il cui destino è già segnato, bisogna necessariamente abbracciare il Regolamento ed individuare in modo corretto le azioni da intraprendere per tutelarsi prima, durante e dopo.

L’unico motivo che può impedire l’utilizzo del diritto all’oblio è se le informazioni detenute siano di utilità per la libertà di stampa e informazione, ma qui di fatto si entra nell’interesse pubblico e in un campo che ha poco a che fare con le realtà aziendali.

Cancellazione dei dati

Si è concretamente iniziato a parlare di cancellazione dei dati solo nel 2014, poi si è affermato il diritto alla cancellazione solo successivamente grazie ad una sentenza della Corte del Lussemburgo. Oggi tale diritto deve essere garantito ogni qual volta un soggetto in Europa chieda la cancellazione e quindi revochi al terzo il consenso al trattamento. Il titolare a quel punto è obbligato a procedere alla cancellazione ma anche ad adottare ogni tipo di misura atta a garantire la sicurezza di quelle informazioni.

Spesso questa procedura a livello aziendale diventa molto complessa, elaborata. Le aziende non si dotano di un programma corretto per l’applicazione del GDPR e quindi si ritrovano senza strumenti a dover fronteggiare il problema. In sostanza infatti la cyber security invita le imprese ad una corretta archiviazione dei dati come previsto dalla legge, al fine di non incorrere in problematiche di difficile risoluzione. Adottando gli strumenti giusti e rivolgendosi ad imprese specializzate è possibile custodire tutti i dati in modo perfettamente sicuro anche nel tempo, garantendo la conseguente cancellazione.

La soluzione ideale per le aziende che lavorano con dati sensibili

I servizi di Data Storage Security includono un processo end to end che garantisce la distruzione completa di qualunque tipo di documento. Quando si parla di cancellazione sicura viene spesso fatto riferimento ad un processo end to end integrato per la sicurezza. In sostanza questo tipo di cancellazione offre una certificazione che comunemente non è possibile ottenere con gli altri strumenti di cancellazione. Quando si effettua una cancellazione tradizionale da un supporto, i dati di fatto non spariscono. Quando su questo supporto fisico ci sono elementi molto sensibili la situazione è pericolosa perché con software specifici questi possono essere recuperati. Per tale motivo è utile un processo di questo tipo che ne garantisca la completa distruzione.

Il procedimento utilizzato per l’eliminazione dei dati da Data Storage Security è tracciato completamente e quindi viene rilasciato un report completo di quanto è stato fatto. In questo modo il cliente è tutelato al 100% e soprattutto agisce secondo quando stabilito dal Regolamento GDPR.