Gli archivi digitali: la cancellazione sicura dei dati

Scritto dall’Avvocato Cristina Mantelli Delegato ANDIP-Bologna Componente del Comitato Scientifico ANDIP

Gli archivi digitali: la cancellazione sicura dei dati

Gli archivi digitali rappresentano il patrimonio informatico di ogni impresa. Proteggerli è importante non solo per questioni di sicurezza ma anche perché esistono obblighi di legge. Si ricorda, fra gli altri, che GDPR contempla la cancellazione sia su richiesta degli interessati (art. 17) sia per “scadenza” dei termini di conservazione dei dati stessi (art. 13, comma 2, lettera a). Non ottemperare alla normativa e alle condizioni di sicurezza nelle operazioni di cancellazione/distruzione dei dati potrebbe portare a sanzioni pecuniarie contemplate dall’art. 83 fino a 20.000.000,00 euro o al 4% del fatturato mondiale annuo del gruppo imprenditoriale se superiore a 20 milioni.

Ad accentuare il problema della governance dei dati vi è poi l’ambiente cloud considerando che spesso non si detiene un controllo diretto, ma ci si avvale di spazi di terze parti; da ciò ne consegue che può sussistere anche l’eventualità che pur se distrutto dall’ambiente cloud, il dato continui a permanere, magari su copie di backup di cui il titolare non ha piena contezza.

Purtroppo, nella mentalità comune i dati, una volta svuotato il cestino, vengono considerati cancellati in maniera indelebile: niente di più errato! A volte possono essere ripristinati, in alcuni casi, persino dopo una formattazione.

Pertanto, i professionisti e le imprese quando decidono di dismettere dei dati devono avere adeguate procedure volte alla cancellazione definitiva e/o alla distruzione degli stessi.

Quali sono quindi gli strumenti tecnici a disposizione per la cancellazione definitiva dei dati?

Le principali modalità per la cancellazione/distruzione dei dati sono:

  • La distruzione fisica irreversibile del supporto attraverso metodi che garantiscono che sia impossibile ricostituire il supporto stesso, magari perché viene triturato.
  • La smagnetizzazione del supporto attraverso uno specifico macchinario denominato degausser
  • La criptazione dei dati (fra l’altro l’art. 34 co. 3 del GDPR esonera dal comunicare all’interessato il data breach qualora sia stata applicata la cifratura)
  • Il Wiping, una serie di sovrascritture dell’intero hard disk tramite apposite tecniche

Il Wiping è una procedura che rende impossibile il recupero dei dati. Esistono diversi software – secondo standard di sicurezza predefiniti – che si diversificano per i numeri di passaggi di sovrascrittura. Blancco e BitRaser sono due dei software più utilizzati e conosciuti sul mercato che consentono anche di certificare il processo.

In buona sostanza è certamente fondamentale avere policy, processi e procedure chiaramente definiti che permettano di avere una roadmap dei dati.

All’uopo si ricorda che il principio di accountability impone al titolare/responsabile di dimostrare che sta effettuando un trattamento in linea con il GDPR.