La cancellazione sicura dei dati dai supporti dismessi, oggi è già un obbligo di legge, secondo il “Provvedimento del Garante della Privacy, 13 ottobre 2008” (G.U. n.287, 9 dicembre 2008), ma la questione viene rinforzata nel Regolamento Europeo Privacy Ue 2016/679 che è entrato in vigore il 24 maggio 2016, ma troverà applicazione negli Stati membri dal 25 maggio 2018. In realtà però il Regolamento non prevede un elenco di misure di sicurezza, ma alcuni parametri da tenere in considerazione per individuare le misure più idonee da adottare, come ad esempio natura, oggetto e contesto del trattamento, rischio e gravità per i diritti delle persone fisiche ecc… In sostanza il Regolamento lascia valutare al Titolare del trattamento il livello di sicurezza adeguato a contrastare i rischi di divulgazione non autorizzata dei dati o accesso in modo accidentale o illegale ai dati personali conservati.

La cancellazione sicura, a differenza di quella semplice, è quella che agisce sia sui puntatori ai file sia sul contenuto dei file stessi: di fatto nulla deve essere più recuperabile perché nulla dell’informazione originale deve rimanere sul dispositivo.

Se i supporti dismessi sono destinati a reimpiego e riciclaggio, l’effettiva cancellazione dei dati è ottenibile con:
– software di sovrascrittura (wiping program);
– formattazione a basso livello (low level formatting);
– demagnetizzazione dei dispositivi magnetici (degaussing).

Se i supporti dismessi sono destinati a smaltimento, la cancellazione sicura dei supporti di memorizzazione di tipo ottico o magneto-ottico può anche risultare da procedure di:

– punzonatura o deformazione meccanica;

– distruzione fisica o disintegrazione;

– demagnetizzazione ad alta intensità.

I dispositivi da sottoporre a cancellazione sicura non comprendono esclusivamente i computer (desktop, laptop o server), ma anche i supporti mobili e rimovibili. Qualunque tipo di supporto di memorizzazione contenente dati personali deve essere oggetto di procedure di cancellazione sicura e – per ragioni di buon senso – lo dovrebbe essere anche qualsiasi dispositivo contenente informazioni che si vogliono mantenere riservate e confidenziali, ad esempio hard disk, SSD, flash memory di vario tipo e formato, chiavette USB e nastri magnetici.
Le aziende o gli enti possono acquistare strumenti software o hardware di cancellazione sicura, ma anche affidarsi ad un fornitore terzo qualificato per adempiere agli obblighi di legge.

Per completezza, invito a leggere il Provvedimento del Garante della Privacy, 13 ottobre 2008 (G.U. n.287, 9 dicembre 2008), che negli allegati A e B prevede proprio le misure tecniche da adottare sia per la cancellazione sicura dei dati che per lo smaltimento di rifiuti elettrici ed elettronici (http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1571514#Aa</a)

Avv. Federica Spuri Nisi