Cancellazione trasversale dei dati: l'indagine sulla protezione dei dati mostra margini di miglioramento
La nuova legge sulla protezione dei dati (NDSG) entrerà in vigore il prossimo anno. Swiss Infosec AG, insieme a Swiss GRC AG, ha voluto scoprire in un sondaggio sulla protezione dei dati se la prospettiva dell'entrata in vigore dell'NDSG il 1° settembre 2023 ha già un impatto sulla gestione della protezione dei dati nelle aziende.
115 persone hanno partecipato al sondaggio Swiss Infosec Heartbeat sulla protezione dei dati. La maggior parte di loro (40%) lavora nel reparto IT della propria azienda. Tuttavia, numerose risposte sono arrivate anche dai dipartimenti legale e delle risorse umane e dal Consiglio di amministrazione/direzione esecutiva. Il fatto che la protezione dei dati sia percepita e presa sul serio come un argomento importante a livello di consiglio di amministrazione e di direzione rende gli autori di questo sondaggio sulla protezione dei dati fiduciosi e parla di una maggiore priorità della protezione dei dati.
Buona pagella in termini di requisiti interni di protezione dei dati
83% delle organizzazioni che hanno partecipato all'indagine sulla protezione dei dati hanno un documento interno con linee guida sulla protezione dei dati. 12% non dispongono di tale documento e i restanti 5% non sanno se esistono linee guida interne per la protezione dei dati. L'esistenza di linee guida interne sulla protezione dei dati dimostra che le organizzazioni si occupano del tema della protezione dei dati/della legge sulla protezione dei dati e che la gestione della protezione dei dati non è arbitraria, ma è chiaramente stabilita in relazione all'azienda. Questo crea sicurezza e continuità. 66% delle organizzazioni impiegano titolari di dati che sono responsabili di una certa parte dei dati all'interno dell'organizzazione.
Solo poche aziende non hanno ancora un'informativa sulla privacy
104 dei 115 intervistati o 90% confermano che la loro organizzazione ha una dichiarazione sulla protezione dei dati (DSE). Questo valore elevato è piacevole. Tuttavia, gli esperti di protezione dei dati di Swiss Infosec AG si pongono la domanda - che non è stata posta esplicitamente nel sondaggio - se questi DSE coprano anche il trattamento dei dati al di fuori del sito web. L'esperienza dimostra che probabilmente non è così ovunque. Alla luce della nuova legge sulla protezione dei dati, tuttavia, queste attività di trattamento dei dati dovrebbero essere coperte dalle dichiarazioni sulla protezione dei dati.
Il sondaggio sulla protezione dei dati mostra un margine di miglioramento per quanto riguarda la cancellazione regolare e trasversale di dati
Non inaspettatamente, il maggior potenziale di ottimizzazione è rappresentato dalla cancellazione dei dati. Sebbene 39% dei partecipanti all'indagine affermino che i dati vengono cancellati regolarmente e in tutti i reparti della loro organizzazione, ciò non avviene in 43% delle aziende. Tuttavia, in 43% delle aziende la cancellazione dei dati non avviene e il restante 8% degli intervistati non ne è a conoscenza. Eugen Roesle, responsabile dell'ufficio legale e della privacy di Swiss Infosec AG, parla in questo contesto dell'"ultimo miglio della protezione dei dati" che molte aziende devono ancora percorrere, anche se l'NDSG non cambia nulla in termini puramente legali per quanto riguarda la cancellazione dei dati. I dati personali che non sono più necessari perché hanno raggiunto il loro scopo devono essere cancellati già in base alla legge vigente.
Considerare la governance della protezione dei dati
Un requisito fondamentale della governance della protezione dei dati è l'implementazione di un processo che verifichi la conformità alla protezione dei dati per i nuovi progetti che coinvolgono dati personali. 57% delle organizzazioni partecipanti soddisfano questo requisito, 43% non lo soddisfano o meglio non lo soddisfano. È necessario intervenire nell'area della governance della protezione dei dati, soprattutto perché la revisione tempestiva e, nel migliore dei casi, automatica della conformità alla protezione dei dati per i nuovi progetti fa risparmiare tempo ed elimina incertezze e spiacevoli sorprese.
Supporto attraverso strumenti specifici/soluzioni software?
Secondo l'indagine, le organizzazioni che si affidano a strumenti/soluzioni software specifici nell'ambito della protezione dei dati sono sottorappresentate. Dopo tutto, 40% delle aziende si avvalgono di tale supporto, 60% non lo fanno (ancora). Resta aperto il problema se le dimensioni dell'azienda o la sua complessità influenzino la decisione di utilizzare gli strumenti o se le offerte corrispondenti e le loro soluzioni personalizzate siano troppo poco conosciute.
Fonte: Infosec Svizzera
