Computek Locazioni:
cancellare con sicurezza i dati digitali
In Italia, nel 2016, circa un miliardo di euro è stato investito sull’Information Security. Gli investimenti riguardanti la protezione dei sistemi informatici e delle informazioni, però, valgono ben poco se si dovesse trascurare il concetto di sicurezza proprio nel momento in cui l’hardware viene dismesso e i dati divengono più vulnerabili.
Non tutte le aziende, ad esempio, eliminano correttamente i dati dai computer quando questi vengono ceduti o dismessi. La cancellazione sicura andrebbe invece adottata come best-practice a tutela dei dati detenuti dall’azienda e non sarebbe solo una regola di buon senso nei confronti di clienti, fornitori o dipendenti. La tutela riguarderebbe soprattutto il futuro stesso dell’azienda, dato che eliminare e proteggere dati confidenziali e riservati legati al business – quali ad esempio diritti di proprietà intellettuale, progetti di sviluppo di nuovi prodotti, scritture contabili, scambio di email – è anche un obbligo normativo.
È dunque necessario iniziare a ripensare alla sicurezza dei propri dati come processo e non solo come prodotto. Più in generale, come un approccio culturale, perché è evidente la necessità di una maggiore consapevolezza dei problemi legati alla non corretta gestione dei dati e di un utilizzo più appropriato degli strumenti informatici, nell’era moderna mezzo indispensabile per il raggiungimento di tutti gli obiettivi aziendali.
La cancellazione sicura non deve riguardare solo gli uffici IT, ma deve essere una policy condivisa da tutta l’azienda, da diffondere ai dipendenti e collaboratori di ogni reparto.
A quali dati facciamo riferimento?
- Dato personale: qualunque informazione riguardante la persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
- Dati identificativi: i dati personali che permettono l’identificazione diretta dell’interessato;
- Dati sensibili: I dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale;
- Dati giudiziari: i dati personali idonei a rivelare provvedimenti di cui all’articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale;
I sistemi informatici di ogni azienda contengono dati personali, specialmente dei dipendenti. La tutela di questi dati in Italia è regolamentata dal Codice in materia di protezione dei dati personali (D.Lgs. 196/03). Successivamente, l’Autorità Garante per la Privacy, constatata la possibilità di rinvenire dati personali in dispositivi elettronici dismessi o rivenduti come usato, ha emesso il 13 ottobre 2008 un provvedimento intitolato “Rifiuti di apparecchiature elettriche ed elettroniche (Raee) e misure di sicurezza dei dati personali (G.U. n. 287 del 9 dicembre 2008)”.
L’eliminazione corretta dei dati personali è diventata dunque materia di legge per le aziende, poiché sono previste sanzioni di tipo civile e penale, ad esempio:
- “Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile” (Art. 15 – Danni cagionati per effetto del trattamento. Parte I – Disposizioni generali, Titolo III – Regole generali per il trattamento dei dati);
- “Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’articolo 33 è punito con l’arresto sino a due anni” (Art. 169 – Misure di sicurezza. Parte III – Tutela dell’interessato e sanzioni, Titolo III – Sanzioni).