La spazzatura elettronica parla di noi!

Si fa un gran parlare di privacy e segreti aziendali, ma non sono molte le persone accorte che in caso di dismissione di apparecchiature elettroniche, si preoccupano di verificare di aver adeguatamente “ripulito” le memorie per non far girare incontrollatamente informazioni e documenti che riguardano la propria vita o la propria attività.

Sotto questo profilo un imput ben preciso sembra essere arrivato proprio dall'Autorità Garante in materia di protezione dei dati personali. 

Il rischio in sostanza è che nel gettare un cd-rom o una altra qualsiasi memoria esterna, come un pc ormai obsoleto, vari dati come rubriche telefoniche, posta elettronica, documenti di vario genere contenenti dati personali propri e di terzi, finiscano per essere conosciuti da persone non autorizzate. Così l'Autorità Garante con un recente provvedimento, ha affrontato la tematica della rottamazione dei pc dando specifiche indicazioni per la cancellazione sicura dei dati, pubblicando peraltro anche intervenenti di tipo tecnico evidentemente redatti dai vari esperti informatici delle aziende realizzatrici dei sistemi informatici stessi.

Ecco emergere così come tecnica di cancellazione sicura, quella della riscrittura delle aree del disco al fine di non consentire un recupero comprensibile dei dati; mentre per la parte hardware, e quindi la distruzione di hard-disk e supporti magnetici non riscrivibili, la procedura da seguire è quella relativa alla cosiddetta punzonatura o deformazione meccanica o demagnetizzazione ad alta intensità (valida anche la vera e propria distruzione fisica... persone di mia conoscenza danno martellate sugli hard-disk ma non sono convintissime della buona riuscita dell'operazione...).

Al di là delle espressioni “tecniche” e dei consigli materiali, un provvedimento di questo genere è sintomatico della necessità di sensibilizzazione che l'Autorità Garante sta promuovendo verso chi fa uso di nuove (ormai neppure tanto...) tecnologie.

La problematica relativa al rinvenimento di dati personali all'interno di apparecchiature elettriche ed elettroniche è ormai all'ordine del giorno, ed a “cascarci” non sono soltanto persone poco inclini all'informatizzazione, ma soprattutto proprio le grandi aziende e gli enti pubblici, dove la circolazione della strumentazione informatica porta con sé il rischio tangibile di non adottare sistemi sicuri di cancellazione. Ecco perchè al di là del provvedimento del Garante e quindi di obblighi oggettivi che gravano sui titolari di trattamenti dati allocati su memorie fisse o removibili, la cosa più intelligente da fare in azienda come nella PA è stabilire delle procedure di dismissione della strumentazione informarmatica.

La dismissione può avvenire in due modalità: o con getto vero e proprio del pc o comunque del supporto, equiparandolo a spazzatura elettronica, o dismissione mediante riciclaggio e reimpiego dell'apparecchiatura.

Molte realtà aziendali e pubbliche spesso infatti si disfanno di pc non eccellenti ma funzionanti, che in ambito lavorativo hanno fatto il loro percorso e sono arrivati alla fine, ma che certamente in ambienti come le scuole o circoli ricreativi per ragazzi, potrebbero ancora dare. Appare quindi uno spreco abbandonare un bene che può costituire ancora una risorsa per qualcuno.

In entrambi i casi comunque, sarà onere del titolare delle apparecchiature o del responsabile IT incaricato alla dismissione, preoccuparsi di non rendere recuperabili i dati contenuti. Attenzione: questo aspetto non costituisce un mero consiglio, ma un obbligo di legge.
Difatti al di là dell'interesse che in prima persona può avere il titolare del pc stesso (o del supporto, ovviamente) la normativa in materia di privacy ritiene il titolare del trattamento dati, o il responsabile se nominato, soggetti tenuti a non consentire l'accesso e la conoscibilità dei dati conservati o cancellati o in fase di cancellazione, da parte di soggetti terzi non appositamente autorizzati.

Questo fa sì che il titolare debba preoccuparsi non solo di stabilire apposite procedure di smaltimento della strumentazione, ma anche adottare idonee misure per garantire la riservatezza dei dati nella fase di pre-cancellazione dei dati stessi. Ecco ritornare quindi le care e vecchie dichiarazioni di riservatezza, ecco doversi indicare procedure di smaltimento delle apparecchiature, ecco in sostanza doversi porre il problema che in pochi sino ad oggi si sono posti.

Un provvedimento quello del Garante, che ha una sua ratio, peraltro condivisibile considerata la superficialità con cui vengono abbandonati pc e supporti fisici. Magari un'azienda o un ente adottano misure di sicurezza ai massimi standard, con sistemi di autorizzazione biometrici all'accesso ai dati, controllo preventivo ed incrociato degli accessi, cancellazione programmata dei dati obsoleti, e poi consegnano un pc ad un corriere per la rottamazione avendo semplicemente “cestinato” i documenti contenuti... il caso non è isolato... pensiamoci, la spazzatura – elettronica e non – parla di noi!