Il regolamento generale sulla protezione dei dati (GDPR) stabilisce quando i dati devono essere cancellati. Di conseguenza, le aziende stanno allineando le loro politiche con questo. Tuttavia, questo non avviene ancora al cento per cento e anche se ci sono linee guida, manca l'attuazione.
Gli analisti di Coleman Parkes, insieme a Blancco, hanno esaminato più da vicino le politiche di cancellazione dei dati di 1.850 delle più grandi aziende del mondo. Hanno scoperto che i regolamenti ufficiali per lo più non riflettono la realtà. Altre indagini, come un sondaggio di Talend pubblicato nell'autunno 2019, rivelano già problemi con l'attuazione del GDPR, che è in vigore da circa un anno e mezzo.
L'ostacolo predominante: i dati non vengono più memorizzati direttamente nelle aziende solo sull'hardware, ma anche nel cloud, su vari dispositivi finali portatili come laptop, tablet, smartphone o supporti di memorizzazione esterni. Uno scenario molto confuso, quindi, soprattutto quando i dati hanno raggiunto l'ultima fase del loro ciclo di vita e devono essere cancellati.
Chi è responsabile?
96 per cento delle aziende intervistate da Coleman Parkes per lo studio "Data Sanitisation: Policy vs. Reality" hanno una politica sulla cancellazione dei dati. Eppure, nonostante i loro mandati, le aziende lottano per definire, implementare e comunicare le loro politiche, mettendo a rischio la sicurezza dei loro dati. Questo perché la politica è raramente adatta a garantire la cancellazione completa dei dati delle risorse informatiche esistenti in ogni fase. Manca una strategia di comunicazione appropriata per il personale, le competenze relative ai metodi e ai luoghi appropriati in cui i dati possono essere cancellati. Inoltre, c'è spesso una mancanza di chiarezza su chi è responsabile della corretta cancellazione dei dati. È quindi molto probabile che, per esempio, i dati sul cellulare del freelance che se n'è andato non vengano affatto cancellati o vengano cancellati troppo tardi perché la loro esistenza è stata semplicemente trascurata o non comunicata ai responsabili.
Quando un dipendente se ne va, il 22% delle aziende intervistate lascia che sia il dipendente a prendersi cura dei dati e dei vecchi dispositivi. Un altro 22% trasferisce questa responsabilità al suo supervisore diretto.
Lo studio mostra anche che il 31% delle aziende non ha comunicato la propria politica di cancellazione dei dati in tutta l'azienda. In più della metà delle aziende intervistate in tutto il mondo (56%), non c'è una comunicazione efficace e regolare a livello aziendale della politica di cancellazione dei dati.
34% delle aziende hanno scartato PC, laptop, server e altri dispositivi utilizzati nei data center cancellati fuori sede. Per lo più senza controllo sulla corretta gestione dei dati legacy.