Le buone regole per dismettere e rottamare il proprio PC rispettando la riservatezza dei dati personali degli interessati

 

A cura di Avv. Graziano Garrisi – Digital & Law Department, Studio Legale Lisi

La riservatezza dei dati e delle informazioni non deve essere salvaguardata solo quando siamo chiamati in prima persona ad operazioni di trattamento in qualità di titolari (ovvero di responsabili o incaricati) su archivi correnti o storici; le opportune misure di sicurezza, infatti, devono essere prese anche quando gli strumenti sui quali i dati e le informazioni sono salvati non servono più e vengono sostituiti in favore di nuove infrastrutture informatiche più moderne e più adatte alle nuove esigenze.

E’ il caso, ad esempio, dell’applicazione pratica di un precetto contenuto nell’art. 16 del Codice Privacy che disciplina i casi di cessazione, per qualsiasi causa, di un trattamento di dati personali: infatti, sulla base di tale disposizione, ogni qual volta si realizza la finalità del trattamento e viene meno l’esigenza di conservare il dato personale, una delle ipotesi previste è quella della distruzione di quest’ultimo (art. 16, comma 1, lett. a).

Non è raro, inoltre, che molte società private e Pubbliche Amministrazioni abbiano in passato ceduto (anche a titolo gratuito) le proprie dotazioni hardware a soggetti terzi, senza curarsi di effettuare una cancellazione sicura di tutti i documenti e i dati personali contenuti nella memoria di tali strumenti informatici. Così facendo, molti di questi dati, anche di natura sensibile e giudiziaria (si pensi, ad esempio, alla mole ed alla delicatezza dei dati personali che può contenere un pc di una Procura o di un’istituzione scolastica), spesso sono finiti nella mani di un numero imprecisato di soggetti che non erano stati autorizzati al relativo trattamento, con una conseguente fuga di notizie ed una diffusione di dati fuori dal controllo da parte dell’originario titolare del trattamento.

Con il provvedimento dell’Autorità Garante per la protezione dei dati personali del  13 ottobre 2008 (in G.U. n. 287 del 9 dicembre 2008) “Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali” sono state di fatto dettate le nuove regole per evitare che, al momento di dismettere apparecchiature elettriche ed elettroniche (come gli hard disk di un PC, i CD Rom o i DVD, ect.) sulle quali sono memorizzati dati personali, rimangano in memoria nomi, indirizzi mail, rubriche telefoniche, foto, filmati, numeri di conti correnti bancari e dati personali in generale, anche di tipo sensibile come quelli sanitari, riferiti non solo all’utilizzatore, ma anche a terzi.

Lo stesso Garante ricorda in tale provvedimento come le misure descritte risultino allo stato già previste quali misure minime di sicurezza per i trattamenti di dati sensibili o giudiziari (vd. punto 21 e 22 del disciplinare tecnico in materia di misure minime di sicurezza che disciplinano la custodia e l’uso dei supporti rimovibili sui quali sono memorizzati i dati) che vincolano il riutilizzo dei supporti alla cancellazione effettiva dei dati o alla loro trasformazione in forma non intelligibile a terzi non autorizzati a conoscere quelle informazioni.

Ricordiamo, a tal proposito, che già nel Codice Privacy era contenuta una prescrizione in base alla quale gli obblighi relativi alla destinazione dei dati personali detenuti nelle proprie apparecchiature gravano sul titolare del trattamento nel caso in cui la dismissione delle apparecchiature coincida con la cessazione del trattamento (al proposito si veda l’art. 16 del Codice che prevede, in capo al titolare del trattamento, un obbligo di distruzione dei dati personali in caso di cessazione, per qualsiasi causa, di un trattamento).

Per procedere a una corretta “rottamazione” degli strumenti informatici, il Garante, richiamando l’attenzione di persone giuridiche, pubbliche amministrazioni, altri enti e persone fisiche, effettua una distinzione tra apparecchiature elettriche ed elettroniche destinate a essere:

a. reimpiegate o riciclate (seguendo le procedure di cui all’allegato A);
b. smaltite (seguendo le procedure di cui all’allegato B).

Per quanto attiene il profilo sub a) possiamo distinguere tre tipologie di attività da porre in essere:

Reimpiego e riciclaggio di rifiuti di apparecchiature elettriche ed elettroniche;

Misure tecniche preventive per la memorizzazione sicura dei dati, applicabili a dispositivi elettronici o informatici, ovvero proteggere i file memorizzando i dati su hard disk o su altri supporti magnetici utilizzando sistemi di cifratura automatica al momento della scrittura, con password conosciute dal solo titolare di quei dati (unico soggetto che potrà così eventualmente accedere a tali informazioni);

Misure tecniche per la cancellazione sicura dei dati, applicabili a dispositivi elettronici o informatici (su disco fisso o su altri supporti magnetici), ovvero è possibile servirsi di programmi di “riscrittura” che provvedono – una volta che l’utente abbia eliminato dei file dall’unità disco con i normali strumenti previsti dai sistemi operativi – a scrivere ripetutamente nelle aree vuote del disco (si tratta di sequenze casuali di cifre binarie in modo da ridurre al minimo le probabilità di recupero di informazioni anche tramite i complessi software che consentono l’analisi e il recupero di dati), oppure ad utilizzare sistemi di formattazione a basso livello degli hard disk o di demagnetizzazione per una cancellazione rapida delle informazioni.

Relativamente al profilo sub b), invece, il Garante Privacy prende in esame lo smaltimento di rifiuti elettrici ed elettronici mediante soluzioni di distruzione fisica degli hard disk e dei supporti ottici o magneto-ottici, anche non riscrivibili (come CD-Rom e DVD), consigliando l’utilizzo di sistemi di deformazione meccanica (o punzonatura), di demagnetizzazione ad alta intensità o di vera e propria distruzione fisica o disintegrazione, in modo tale da impedire una eventuale acquisizione indebita di dati personali da parte di terzi malintenzionati interessati ad appropriarsi dell’identità altrui o a manipolare i dati acquisiti.

Possiamo notare, quindi, che, a prescindere dagli strumenti e dalle tecniche utilizzate, la finalità che si deve perseguire è quella di assicurare una reale ed effettiva cancellazione dei dati oppure la loro non intelligibilità.

Tale attività di dismissione dei dati personali, qualora il titolare del trattamento non abbia le necessarie e specifiche competenze o strumentazioni tecniche per effettuarne la cancellazione sicura (ovvero non abbia strumenti e soluzioni informatiche in grado di garantire quanto prescritto nel provvedimento, nemmeno con l’ausilio del proprio amministratore di sistema), può anche essere realizzata con l’ausilio di soggetti esterni tecnicamente qualificati.

Ogni titolare del trattamento, pertanto, deve dotarsi di appropriate misure organizzative e tecniche (composta da risorse umane e strumenti informatici – meccanici), secondo quanto stabilito dall’art. 31 del Codice Privacy in materia di misure idonee di sicurezza, per garantire la sicurezza dei dati personali trattati e la loro protezione anche nei confronti di accessi non autorizzati che possono verificarsi ogni qualvolta si procede alla dismissione o cessione degli apparati elettrici ed elettronici (si pensi soprattutto al “riuso” degli strumenti informatici che spesso avviene in ambito pubblico). Dall’inosservanza di tali regole e misure di sicurezza, infatti, possono derivare in capo al titolare del trattamento una serie responsabilità, anche di natura penale (art. 169 del Codice) che, in caso di danni cagionati a terzi, lo esporrebbe altresì a richieste di risarcimento in sede civile (art. 15 del Codice Privacy e art. 2050 c.c.).

Non può dunque sottacersi come, nel mondo delle nuove tecnologie, tutti in cui i dati oramai vengono comunicati e scambiati in modalità elettronica, una regolamentazione di tale delicato aspetto all’interno delle policy aziendali in materia di privacy e riservatezza (regolamenti interni e procedure standardizzate) rivesta una tale importanza da non poter essere più in alcun modo sottovalutata.  

Considerazioni sulle misure tecniche per garantire la non intelligibilità delle informazioni memorizzate negli strumenti elettronici.


A cura di Dr. Lino Fornaro – Net1 Srl, partner esterno dello Studio Legale Lisi

Con il provvedimento in esame  il Garante, adempie ad uno dei suoi compiti definiti nell’art.154 comma 1 lettera h: “curare la conoscenza tra il pubblico della disciplina rilevante in materia di trattamento dei dati personali e delle relative finalità, nonché delle misure di sicurezza dei dati“.

Nel suggerire i rimedi per garantire la riservatezza e/o la indisponibilità dei dati personali contenuti nei supporti di memorizzazione degli strumenti elettronici, viene posta una distinzione iniziale riferita essenzialmente alla destinazione delle apparecchiature, riciclo e smaltimento, con due allegati distinti, rispettivamente allegato A e allegato B, in cui vengono descritte  le procedure da attuare.

Una prima considerazione su questa distinzione: sicuramente le procedure descritte nell’allegato sub B) non sono praticabili in caso di riciclo o reimpiego, altrimenti ci ritroveremmo con degli strumenti inservibili; in caso di smaltimento, invece, non è escluso il ricorso alla procedure descritte nell’allegato sub A).

In altre parole, l’obiettivo da raggiungere è rendere indisponibili o inintelligibili i dati, in entrambe le situazioni (riuso o smaltimento); quindi se per uno strumento elettronico sono state apportate una o entrambe le procedure descritte nell’allegato sub A), la semplice cancellazione dei dati basterebbe anche in caso di smaltimento (senza rischiare di procurarsi lesioni nel tentativo di distruggere un disco rigido con un martello).

Questo perché, come descritto nello stesso provvedimento, le tecniche di cifratura eventualmente utilizzate per cifrare i dati memorizzati di fatto sono una garanzia circa la confidenzialità dell’informazione memorizzata, per cui, se un file cifrato fosse recuperato da un supporto di memorizzazione, questo non sarebbe decifrabile (quindi l’informazione resterebbe protetta).

Stesso discorso vale nel caso in cui si debba smaltire uno strumento e si proceda alla c.d. “cancellazione sicura” nei modi descritti nell’allegato sub A); assicurando l’impossibilità di recuperare il dato, è possibile evitare l’utilizzo di martelli o punzonatrici. Ci si potrebbe chiedere allora a cosa serva l’allegato sub B)? La risposta è semplice: semplicemente a darci una alternativa meno tecnologica e per alcuni versi più pratica per i meno avvezzi con le tecniche di crittografia e cancellazione sicura.

Rispetto alle procedure previste nell’allegato sub A) al provvedimento in oggetto, c’è da porsi una legittima domanda: quale approccio preferire? Quello preventivo, che prevede la cifratura a monte del dato, o il rimedio, cioè la cancellazione sicura dei soli dati personali con le citate tecniche di “wiping”?

Infatti, l’utilizzo di tecniche di cifratura sebbene abbia sicuramente notevoli vantaggi, comporta inevitabilmente qualche problema di gestione.

I principali approcci alla cifratura possono così essere sintetizzati:

1)    cifratura del contenitore (l’intero disco fisico o di dischi virtuali)
          
– a.    Vantaggi: ottimo rimedio contro il furto
– b.    Svantaggi: quando il sistema operativo è avviato, i dati sono in chiaro e se copiati su supporto removibile (stick usb) o allegati in posta elettronica, o distribuiti da un virus, sono in chiaro, quindi leggibili

2)    Cifratura del singolo file o cartella

– a.    Vantaggi: la cifratura è legata al file, quindi è assicurata in qualunque situazione (furto, copia fraudolenta o diffusione non controllata)
– b.    Svantaggi: impatto sull’attività dell’utente che deve gestire il processo di cifratura

Altra discriminante è data dall’ambiente di lavoro:

1)    Stand alone (il proprietario o l’assegnatario dello strumento è l’unico ad utilizzarlo o a dover accedere ai file)

2)    Condiviso in rete (dove l’informazione cifrata deve essere condivisa da un team, pur restando cifrata)

Indipendentemente dall’approccio scelto ad una soluzione di cifratura, è possibile ottenere un margine di sicurezza rispetto alla confidenzialità dei nostri dati decisamente più alto, ma anche un segreto in più da custodire e proteggere attraverso una nuova password o una chiave di cifratura.

In questo contesto è opportuno evitare di aprire un capitolo sulla gestione sicura delle password e delle chiavi crittografiche, ma è d’obbligo sottolineare che la perdita della password o della chiave di cifratura renderà l’informazione inutilizzabile anche al legittimo proprietario (o titolare del trattamento). 

Quanto qui esposto costituisce una semplificazione dell’argomento, che, in verità, ha dei connotati di complessità e presenta implicazioni non esposte per ovvie ragioni di sintesi.

Di fronte a queste premesse, forse la tentazione di trovare un rifugio nell’utilizzo di un software di “wiping” in alternativa a soluzioni di cifratura è sicuramente forte, ma è possibile affermare con certa grado di certezza che il tempo investito a imparare ad utilizzare correttamente una soluzione di cifratura è sicuramente più vantaggioso.

Il mercato dell’offerta di queste tipologie di soluzioni è maturo per chi volesse decidere realmente di mantenere riservate le proprie informazioni e le proprie comunicazioni, anche ai cd  “amministratori di sistema”, di cui tanto si è discusso negli ultimi tempi.

Ovviamente, tutto dipende dalla natura delle informazioni che dobbiamo gestire e dal livello di riservatezza che per legge o per scelta, vogliamo garantirci e garantire.