Informatica e normativa
Cancellazione sicura dei dati: obblighi di legge e suggerimenti pratici del Garante
Avv. Pierluigi Perri
Foro di Milano
Dottore di ricerca in Informatica giuridica e Diritto dell'informatica Università di Milano
Uno dei più recenti provvedimenti del Garante, che certamente troverà concreta applicazione all’interno di tutte le strutture adibite al trattamento dei dati personali, riguarda il corretto smaltimento delle apparecchiature elettroniche, qualora queste ultime contengano dati personali.
È evidente, infatti, che l’avvicendamento tecnologico sempre più frequente all’interno delle varie strutture, determinato sia dall’accelerata obsolescenza tecnologica sia dalla drastica riduzione di prezzo delle apparecchiature elettroniche, stia ponendo sempre più problemi relativamente al corretto smaltimento dei “rifiuti elettronici” e, soprattutto, relativamente alla corretta distruzione dei dati in essi contenuti.
Non bisogna dimenticare, infatti, che la “distruzione o cancellazione del dato” rientra a pieno titolo nell’ambito delle operazioni di trattamento previste dal Codice privacy, ed in quanto tali devono sottostare a tutte le cautele previste dal Codice per evitare ipotesi di trattamento illecito, non consentito o non conforme alle finalità della raccolta. Si pone, quindi, il problema del corretto smaltimento di tali apparecchiature, soprattutto al fine di evitare che soggetti terzi, una volta entrati in possesso di queste ultime, possano estrarre i dati personali in esse contenuti e, quindi, violare la riservatezza degli interessati, ma anche entrare in possesso di dati sensibili della stessa azienda.
La normale cancellazione dei file, così come la stessa formattazione dell’hard disk, infatti, non sono mezzi idonei a garantire un’effettiva cancellazione dei dati registrati, che spesso risultano recuperabili grazie all’utilizzo di semplici tool reperibili su Internet. È proprio sulla base di queste premesse che il Garante, con il Provvedimento del 13 ottobre 2008 (G.U. n. 287, 9 dicembre 2008), ha voluto illustrare alcuni suggerimenti per il corretto reimpiego, riciclo o smaltimento delle apparecchiature elettriche ed elettroniche, cui ha fatto seguito la scheda informativa del 12 dicembre 2008 contenente le raccomandazioni degli operatori per effettuare una cancellazione sicura dei dati.
Gli scenari possibili che vengono presi in considerazione sono tre: una prima fase, che potrebbe essere definita preventiva, dove i dati vengono memorizzati mediante tecniche di memorizzazione sicura; una seconda fase, collocata temporalmente immediatamente prima della cessione o dismissione dello strumento elettronico, che richiede quindi specifiche accortezze volte a realizzare una cancellazione sicura; una terza fase, per cui in caso di cessione o dismissione dello strumento elettronico viene prescritta l’adozione di speciali accorgimenti tecnici o addirittura la distruzione fisica del supporto contenente i dati.
Per la prima fase, viene caldeggiata sia dal Garante sia dagli operatori l’utilizzo di tecniche di cifratura dei singoli file o di interi gruppi di file o l’adozione di appositi software che cifrino automaticamente, senza necessità di alcun intervento dell’utente, qualsiasi file venga memorizzato all’interno delle memorie di quel determinato strumento elettronico.
Il suggerimento di adottare tecniche di cifratura è decisamente condivisibile, in quanto tali sistemi consentono un elevato grado di sicurezza raggiungibile facilmente da qualsiasi struttura grazie alla continua evoluzione di appositi software, che hanno reso molto semplici operazioni che, altrimenti, sarebbero estremamente complesse. Tutta la sicurezza dei sistemi crittografici, tuttavia, poggia sulla chiave privata di decifratura che dovrà essere scelta dall’operatore. È evidente che, nel caso in cui la parola chiave non venga scelta con le dovute accortezze quali possono essere quelle prescritte all’interno dell’Allegato B al D.Lgs. 196/03 per le credenziali di autenticazione, l’intero sistema cifrato potrebbe risultare particolarmente debole.
La seconda fase riguarda le misure tecniche per la cancellazione sicura dei dati, applicabili a dispositivi elettronici o informatici, e si colloca temporalmente un istante prima della cessione o dismissione dell’apparato elettronico. Per cancellare efficacemente i dati, avendo già evidenziato che le normali operazioni di cancellazione dei file e la stessa formattazione dell’hard disk non sono sufficienti, sia il Garante sia gli operatori caldeggiano l’utilizzo di appositi programmi di wiping o file shredding.
La funzione di tali programmi altra non è che quella di cancellare e riscrivere dati casuali sulle singole porzioni delle memorie, in maniera tale che i dati in esse originariamente contenuti risultino irrecuperabili. Ovviamente, maggiori saranno le azioni di cancellazione e riscrittura casuale di bit, maggiore sarà la certezza che il dato preesistente non possa esser recuperato in alcun modo. L’utilizzo di numerosi cicli di cancellazione/riscrittura, tuttavia, comporta l’allungamento temporale dell’operazione, per cui bisognerà bilanciare le esigenze di riservatezza, tenendo conto della delicatezza dei dati contenuti nei supporti di memorizzazione, con la disponibilità temporale ad effettuare operazioni di cancellazione molto lunghe.
Un altro sistema che può essere adoperato, infine, è la formattazione c.d. “a basso livello” dell’hard disk, che consente un’effettiva distruzione dei dati in esso contenuti. Per effettuare correttamente tale operazione, tuttavia, bisognerà verificare le raccomandazioni del produttore del proprio disco rigido. Inutile dire che, allo stato attuale, la tecnica del wiping, se ben fatta con tool automatici, è decisamente sicura, per cui qualsiasi operazione di cancellazione dei dati deve essere sempre condotta con estrema accortezza, in quanto il dato viene ad essere distrutto senza possibilità alcuna di recupero, nel caso in cui ci si dovesse accorgere di aver distrutto dati ancora utili o importanti.
La terza e ultima fase illustra alcuni accorgimenti molto efficaci sebbene più costosi. Uno dei metodi più efficaci di cancellazione dei dati all’interno dei supporti magnetici, infatti, consiste nel cosiddetto degaussing, ossia la demagnetizzazione del supporto stesso. Tale procedimento, che si caratterizza per la capacità di distruzione dei dati particolarmente elevata, ha anche il pregio di essere estremamente veloce, ma richiede degli strumenti appositi che sono detenuti solo da laboratori specializzati. Anche in questo caso, quindi, bisognerà valutare le effettive esigenze della struttura ed eventualmente rivolgersi a personale specializzato per il compimento di queste operazioni. Va da sé che, in caso di cessione o dismissione di un numero considerevole di strumenti elettronici, il degaussing potrebbe essere la soluzione migliore.
Nel caso in cui il supporto sul quale sono memorizzati i dati non sia di tipo magnetico o non sia riscrivibile (ad esempio CD-ROM o DVD-R), per cui sono di fatto vanificati gli strumenti sinora descritti, il Garante e gli operatori suggeriscono di procedere alla distruzione del supporto. Tale distruzione potrà avvenire con modalità più “artigianali”, ovvero servendosi di strumenti che rendano inutilizzabile il supporto quale, ad esempio, un martello, oppure adoperando appositi strumenti che, come avviene per la distruzione dei documenti cartacei mediante i “tritacarta”, si preoccupano di distruggere in maniera efficace il CD-ROM o il DVD-R.
