Il ciclo di vita dei dati informatici prevede anche la loro distruzione, allo scopo di non renderli più recuperabili e di evitare che, al momento di dismettere un apparecchio IT, rimangano in memoria dati personali come nomi, indirizzi email, numeri telefonici e di conto bancario, e possano andare dispersi e acquisiti anche in modo incontrollato da estranei.
Questo avviene tipicamente quando le apparecchiature IT di un’azienda sono reimpiegate, riciclate oppure smaltite. La dismissione degli apparecchi elettronici, e in particolare dei supporti di storage, costituisce un momento molto critico per la sicurezza dei dati, che può vanificare, proprio all’ultimo, tutti gli sforzi compiuti dalle aziende per garantire la riservatezza delle informazioni. Un PC di seconda mano può essere una fonte preziosissima di dati riservati per eventuali malintenzionati, se i dati contenuti nell’hard disk non sono opportunamente cancellati; per non considerare che, ogni anno, decine di tonnellate di rifiuti elettronici vengono riversati nelle discariche. Il Garante della Privacy stima che gli accessi non autorizzati ai dati digitali partono sempre più spesso da rifiuti di apparecchiature elettroniche avviati allo smaltimento.
Per questo motivo, le disposizioni normative più recenti in materia di tutela dei dati, hanno reso obbligatoria la distruzione dei dati al termine del loro ciclo di vita o del supporto che li contiene, allo scopo di preservare informazioni personali e sensibili da accessi e dalla diffusione incontrollati. Si tratta, purtroppo, di un problema ancora per molti versi poco conosciuto da parte delle aziende, in particolare quelle di dimensioni medio-piccole. Diverse aziende specializzate nella sicurezza e nella protezione dei dati hanno sviluppato soluzioni e metodologie assistere i propri clienti sotto questo aspetto, molto delicato.
La normativa vigente in Italia e in Europa
In Italia la riservatezza dei dati è regolamentata dal decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), comunemente nota come “legge sulla privacy”. Quest’ultima ha fissato delle regole precise per i dati sensibili e giudiziari. I supporti rimovibili che li contengono, se non più utilizzati, devono essere distrutti o resi inutilizzabili, e possono essere riutilizzati solo se le informazioni contenute in precedenza non sono più “intelligibili e tecnicamente in alcun modo ricostruibili”.
Si occupa di cancellazione sicura dei dati anche il decreto legislativo 151/2005, che si occupa del recupero, del reimpiego e del riciclaggio dei componenti provenienti da rifiuti di apparecchiature elettriche ed elettroniche (Raee).
Queste normative sono state ulteriormente rafforzate ed ampliate dal cosiddetto “decreto milleproroghe”, numero 207/2008, pubblicato sulla Gazzetta Ufficiale n. 304 del 31/12/2008. Il decreto inasprisce diverse sanzioni amministrative e penali in materia di privacy, apportando modifiche agli articoli 169 e 162 del Codice della Privacy: in caso di mancata adozione delle misure minime di sicurezza dei dati aziendali, si rischia l’arresto fino a due anni (non più sostituibile dal pagamento di un’ammenda) e una sanzione amministrativa aumentata da 50.000 euro a 120.000 euro. Il decreto punta principalmente a limitare trattamenti illeciti dei dati sensibili da parte delle grandi aziende che gestiscono banche dati di grandi dimensioni; tuttavia, le sanzioni sono state inasprite anche per le piccole e medie aziende.
Negli altri Paesi Europei le sanzioni sono persino più pesanti . Nel Regno Unito, Data Protection Act del 1998 fissa una sanzione di 5.000 sterline, che è stata innalzata a 500.000 sterline lo scorso Aprile. In Germania, un’analoga legge sulla protezione dati del 2001 fissa a 50.000 euro l’ammenda per il mancato rispetto delle formalità e a 300.000 euro la sanzione per le violazioni più gravi. Anche in Svezia e in Francia sono previste pesanti sanzioni e la detenzione fino a due anni.
Nel nostro Paese, il Garante della Privacy ha anche specificato nel provvedimento del 13 ottobre 2008 pubblicato sulla Gazzetta Ufficiale numero 287 del 9 dicembre 2008 le misure da adottare per garantire l’effettiva cancellazione dei dati aziendali o la loro trasformazione in forma non intelligibile.
Anche alcuni standard internazionali si occupano delle misure da adottare per la gestione e la cancellazione sicura dei dati: si tratta del dell’ISO/IEC 17799.
Per quanto riguarda la protezione dei dati contenuti nei supporti di storage, lo scorso Gennaio è stato messo a punto lo standard Opal da parte del Trusted Computing Group. Lo standard stabilisce le modalità di cifratura dei dati memorizzati su supporti elettronici, di modo da proteggere i dati da accessi non autorizzati lungo l’intero ciclo di vita, anche dopo la loro dismissione.