Sapevi che con la GDPR la tua organizzazione sarà soggetta al "Diritto all'oblio"? E no, questo non significa che il garante può dimenticarsi di te!

Al contrario, quando l'applicazione del Regolamento generale sulla protezione dei dati (GDPR) entrerà in vigore nel 25 maggio 2018, chiunque risieda nell'Unione europea - chiunque risieda nell'UE, non solo i cittadini dell'UE - potrà richiedere che le proprie informazioni personali vengano rimosse dai database delle società in modo tempestivo, o conoscere il motivo per cui non sarà possibile rimuovere i propri dati.

Pertanto, se la tua azienda gestisce dati personali europei, sia all'interno che all'esterno dell'Unione Europea, sarai soggetto al Regolamento generale sulla protezione dei dati (GDPR) e al "Diritto alla cancellazione", noto anche come "Diritto all'oblio".

Diritto all'oblio – Quando si applica e quando non lo si applica

Il nuovo regolamento prevede che le società siano tenute a cancellare o "dimenticare" i dati personali relativi a un individuo dopo la formale richiesta dello stesso.
Tuttavia, il diritto alla cancellazione non fornisce un "diritto di essere dimenticati" assoluto.

Ai sensi dell'articolo 17 della GDPR, i singoli individui hanno il diritto di farsi cancellare i dati personali memorizzati e di impedirne l'elaborazione in circostanze specifiche:

  • I dati non sono più necessari per l'uso previsto: Se i dati personali sono stati raccolti per una cosa, ma utilizzati per un'altra allora devono essere cancellati su richiesta.

  • Il consenso per l'uso dei dati può essere ritirato dall'interessato. Un'altra clausola su questo punto è che i dati non devono avere altri motivi legali per essere elaborati.

  • I dati sono stati trattati illegalmente;  per esempio,  dati usati senza consenso.

  • In relazione a richieste di cancellazione legalmente obbligatorie dei membri dell’ Unione Europea e degli Stati Uniti.
  • I dati personali dei minori sono ottenibili e trattabili solo con il consenso dei genitori.


Le organizzazioni non devono sempre conformarsi alla richiesta di cancellazione di una persona

Ricorda che il 'Diritto all’Oblio'  non è un diritto assoluto.  
Un’azienda può rifiutare di attenersi alla richiesta di cancellazione quando i dati personali sono trattati per le seguenti ragioni:

  • L’ esercizio o la difesa di una richiesta legale
  • Per ragioni di sicurezza pubblica
  • Archiviazioni preposte per interessi pubblici, includendo raccolte statistiche, ricerche scientifiche o storiche
  • Per esercitare il diritto di libertà di espressione e informazione
  • Per essere in linea con un’obbligo legale per l’esercizio di un’autorità ufficiale o per l’adempimento di un obiettivo di pubblico interesse

 

3 step da seguire

Per evitare di dimenticarsi del ‘Diritto all’Oblio’, qui ci sono 3 step che ogni azienda può intraprendere:

Organizza i tuoi dati

E’ tua responsabilità sapere dove sono memorizzati i tuoi dati, anche se decidi di utilizzare uno storage in cloud. Mappa i flussi di dati relativi alla GDPR e costruisci un’immagine di dove sono i dati e a come sono utilizzati. In caso nasca la necessità sarà più facile e veloce trovare e cancellare l’informazione.

Definisci processi e policy

Di fatto, l'errore umano è la causa principale della maggior parte delle violazioni dei dati.
Le persone possono commettere errori, per esempio memorizzando le informazioni nei posti sbagliati e archiviando dati fuori dal controllo del reparto IT.
Per ridurre i rischi, è necessario comprendere in che modo i dipendenti gestiscono le informazioni e quali processi legati al loro lavoro vanno ad influenzare quei dati.


Ottieni gli strumenti giusti per il lavoro

Le soluzioni sono disponibili per cercare i dati e determinare la loro posizione - sia su laptop, server o cloud. Tuttavia, per rispettare il "Diritto all’Oblio", è necessario affidarsi a una soluzione di cancellazione efficace e affidabile, per eliminare definitivamente le Data Remanence, cioè le piccole tracce di informazioni che rimangono anche dopo la cancellazione standard.

Cosa sono le Data Remanence e come cancellarle definitivamente

Quando si ‘cancella’ un file alcune informazioni restano ancora in memoria quindi il contenuto del file 'cancellato' continua ad esistere all'interno del sistema.

 

Per attenersi al “Diritto all’Oblio” i dati devono essere cancellati definitivamente


Ecco le funzionalità da cercare quando si seleziona uno strumento di cancellazione dei dati:

Assicurati di cancellare le informazioni ed essere in regola con le tecniche di forensic recovery

I file e le rimanenze devono essere cancellati da tutte le poizioni incluse le directory nascoste, i file nascosti e dai log NTFS e MFTs.
Nel caso in cui il tuo sistema venisse hackerato, non vorrai che gli hacker ripristinino i file precedentemente "cancellati" con uno strumento di recupero di base.

Cancellazione dei file da remoto

Cosa succede se i dati che devi rimuovere sono sul computer di Donatello, sul computer di Michelangelo e sul computer di Leonardo? Cancellare manualmente i dati da ogni computer potrebbe richiedere un giorno intero. Un utility di pulizia da remoto può assicurare velocità e tranquillità in un solo click.

Crea report di cancellazione dettagliati

I report devono essere consegnati in determinati casi. Non solo ci sono requisiti per la segnalazione dei dati nella GDPR, ma la segnalazione può essere di grande aiuto durante i controlli di audit. 

Diritto all’Oblio – Essere complyant grazie a BCWipe

Jetico fornisce un software "Pure & Simple" per la protezione dei dati durante l’intero ciclo vitale. Potenti e facili da usare, BCWipe e BestCrypt sono stati progettati per servire un'ampia gamma di utenti: da esperti in grandi organizzazioni fino agli utenti di casa.
Affidato da oltre 10 anni al Dipartimento di Difesa Americano, BCWipe di Jetico può cancellare completamente i file offrendo la piena conformità alla GDPR in tutta sicurezza.


L‘ Enterprise Edition di BCWipe include Jetico Central Manager per il controllo dei client. 
Ai fini del controllo, gli amministratori possono anche eseguire e recuperare i report di cancellazione.