GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/77/01.jpg

Dettaglio news
GDPR: la cancellazione certificata dei dati


giovedì 24 novembre 2022
Dott. Alessandro Mammoli



 

Cancellare un file da un supporto di memoria non significa eliminarlo in maniera definitiva, così come non è sufficiente riformattare il disco per eliminare i dati al suo interno. E’ necessario avvalersi di sistemi di rimozione certificata dei dati conformi agli standard europei di sanificazione, per rimuovere in modo permanente i dati nel rispetto della loro privacy e dei diritti riconosciuti dal Regolamento europeo agli interessati quali il diritto all’oblio e il diritto all’accesso ai dati personali.

 

Cancellazione certificata: i riferimenti normativi nel GDPR

La cancellazione sicura e certificata dei dati, come detto, è un obbligo di legge derivante dalle previsioni del GDPR. In particolare afferisce all'art. 17 del Regolamento, ma non solo.

  • L'art 4 del GDPR:
    che include, nella definzione di trattamento dei dati, sia la cancellazione che la distruzione dei dati;

  • L'art 5 del GDPR:
    che specifica che i dati devono essere conservati soltanto per il periodo di tempo necessario a conseguire la finalità del trattamento in essere. Ne consegue che, terminato il congruo arco di tempo, i dati debbono essere cancellati;

  • L'art 17 del GDPR:
    che norma il diritto all'oblio. Vi si legge esplicitamente

    "L'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali".

 

Un aspetto tecnico: la differenza tra formattazione e cancellazione definitiva dei dati

C'è qui un aspetto tecnico importante da chiarire: la formattazione non garantisce la cancellazione definitiva dei dati. Tramite specifici strumenti, infatti, è possibile recuperare i dati che erano presenti sul dispositivo prima della formattazione dello stesso. Ugualmente, sovrascrivere una memoria di massa non impedisce di recuperare i dati che vi erano presenti in precedenza.

Ecco perchè si rende necessaria la cancellazione certificata:

  • perché, tramite l'uso di specifici strumenti, è definitiva;
  • grazie alla certificazione il procedimento di cancellazione è dimostrabile.

 

Cancellazione certificata: come si effettua…

La procedura cambia in base al tipo di supporto sul quale viene effettuata; nello specifico:

1) Hard Disk, Penne USB

Ai fini della cancellazione sicura dei dati contenuti in Hard Disk e Penne USB non è sufficiente la formattazione, bensì si rende necessario effettuare un processo di wiping che consenta la sovrascrittura casuale di una serie di bit sull’unità o, in casi estremi, bisogna procedere con la distruzione del supporto.

2) CD, DVD, Blu-ray

Ai fini della cancellazione sicura dei dati su CD, DVD, e Blu-ray non è sufficiente la formattazione, bensì si rende indispensabile avvalersi della tecnica del degaussing, ovvero la procedura di smagnetizzazione del supporto. In casi estremi, bisogna invece necessario procedere con la distruzione del supporto.

3) Dischi virtuali e Cloud

L’unico modo è richiedere al fornitore un certificato di eliminazione dei dati secondo procedure standardizzate ISO27001 e ISO27040. Esistono procedure integrate di wiping inserite nei firmware da parte del fornitore dello storage o applicativi avanzati per distruggere file e cartelle senza possibilità di recupero, così come software per cancellare intere LUN della SAN,

4) Archivi cartacei

Ai sensi del Regolamento (UE) 679/2006 è necessario dotarsi di un distruggi documenti, per poter eliminare in modo permanente i dati riportati nei documenti degli archivi cartacei.




CONDIVIDI QUESTA PAGINA!