I dati digitali sono la linfa del mondo informatizzato nel quale viviamo e per questo motivo sono, da tempo e a ragione, un argomento di discussione di primo piano, soprattutto quando si parla di sicurezza e si toccano i temi legati al trattamento di dati personali, sensibili o anche aziendali. All’interno di un più ampio dibattito legato alla tutela della privacy – in una società iperconnessa e dove la Rete è un facile veicolo per la diffusione incontrollata delle informazioni – il quadro normativo deve evolversi per proteggere la privacy e i dati del comune cittadino ma anche delle aziende, laddove è necessario, e fornire al tempo stesso le linee guida per la corretta gestione delle informazioni non solo durante la loro vita utile, ma anche quando devo essere distrutte.
In questo articolo non ci soffermiamo sulle norme da seguire nei processi di acquisizione e registrazione dei dati e nemmeno sulle pratiche da adottare per garantirne la sicurezza all’interno dei sistemi informatici durante il periodo di utilizzo delle informazioni stesse.
Ci concentriamo, invece, sulle metodologie e sulle buone pratiche da seguire nel momento in cui un’informazione deve essere distrutta in modo certo. Questo è il vero interrogativo che i cittadini e le aziende devono porsi per affrontare in modo corretto e preparato la dismissione completa, lo smaltimento o il riutilizzo di componenti e dispositivi elettronici sui quali sono transitate e sono state immagazzinate informazioni che dovevano essere protette mentre erano in vita e che non possono restare prive di protezione una volta che il dispositivo che le contiene giunge a fine vita o esce dalla filiera produttiva.
In questo periodo storico il ricambio dei dispositivi informatici – server, computer portatili, tablet e smartphone – è così rapido a causa dell’obsolescenza tecnologica che non è possibile pensare di affrontare il problema nel momento stesso in cui si pone. È necessario definire standard, procedure e abitudini in modo da ridurre i costi e i tempi di smaltimento o riutilizzo dei dispositivi per essere certi che informazioni di valore commerciale o personale non possano essere recuperate per utilizzi illeciti.
In questo senso l’attenzione delle Autorità Garanti si concentra in modo particolare sulle imprese per la quantità di informazioni relative a persone fisiche (utenti di servizi) che vengono acquisite, trattate e conservate facendo ricorso a strumenti informativi. La maggior parte degli investimenti effettuati dalle imprese si concentra sulla protezione dei sistemi informatici durante la loro vita utile e in modo particolare sulle soluzioni che permettono di escludere o limitare il più possibile il rischio di accessi indesiderati; questi potrebbero portare alla sottrazione e all’utilizzo non autorizzato di dati sensibili, con ricadute negative tanto per l’attività commerciale quanto per gli utenti che utilizzano i servizi forniti dall’azienda stessa.
I dati sono un asset intangibile che attira interessi non leciti. I dati, tanto quelli aziendali e industriali tanto quelli personali, sono quindi più a rischio che in passato. Per questo motivo la loro protezione deve, o quantomeno dovrebbe essere, ancor prima che un obbligo di legge, un impegno a tutela del business di un’azienda e di tutti i soggetti che interagiscono con essa, siano essi clienti, fornitori o dipendenti.
La soluzione al problema della protezione dei dati, quando si prende in considerazione l’ultima fase del ciclo di vita di un dispositivo elettronico o il processo che porta a un suo riutilizzo, non è nuova o complessa e si chiama cancellazione sicura. La cancellazione sicura è prevista anche dall’attuale quadro normativo sulla privacy, rappresentato in Italia dal Codice in materia di protezione dei dati personali (D.Lgs. 196/03) e dal provvedimento del Garante Privacy intitolato Rifiuti di apparecchiature elettriche ed elettroniche (Raee) e misure di sicurezza dei dati personali (13 ottobre 2008, G.U. n. 287 del 9 dicembre 2008).
Nel maggio del 2018 diventerà esecutivo anche il nuovo Regolamento europeo in materia di protezione dei dati personali – più semplicemente GDPR (General Data Protection Regulation) – pubblicato in Gazzetta Ufficiale Europea (GUUE) il 4 maggio del 2016. Si tratta di un aggiornamento e di un rafforzamento della disciplina che regola la privacy con lo scopo di uniformare la protezione dei dati personali all’interno dei Paesi membri dell’Unione Europea.
Il proliferare dei dispositivi di memorizzazione ha reso più complessa la gestione e il controllo delle informazioni ma è proprio per questo che oggi viene richiesta da più parti una maggiore attenzione e sensibilità sul tema. Il Regolamento obbligherà tutte le aziende che gestiscono i dati personali dei residenti nell’Unione Europea a eliminare tali informazioni su richiesta o quando non più necessarie per l’organizzazione e a introdurre tutele supplementari.
Stando a quanto sancito dalla Commissione Europea “Per dato personale si intende qualsiasi informazione concernente una persona fisica, indipendentemente dal riferimento alla vita privata, professionale o pubblica. Esso può essere qualsiasi cosa come un nome, una fotografia, un indirizzo email, dati bancari, i post sui social network, informazioni mediche o l’indirizzo IP del computer.” (… continuate a leggere sul numero 322 di PC Professionale)