Oggi il blog di Ontrack propone un’intervista a Gianluca Lombardi, GDPR Specialist - D.P.O. - Consulente Privacy e sicurezza informatica, sul tema della gestione dei dati al termine del loro ciclo di vita.
Dal 2003 Lombardi supporta le aziende come consulente ed esperto privacy e tiene corsi di formazione, webinar, seminari e workshop: l’obiettivo è quello di informare le aziende su questa tematica e supportarle nella scelta e nell'adozione delle soluzioni più idonee per la sicurezza dei dati personali e di business.
1. Secondo la vigente normativa cosa si deve fare quando un dato non è più necessario? A quali rischi si può incorrere non ottemperando alla normativa?
Il titolare del trattamento è chiamato a conservare i dati personali per un periodo limitato di tempo, definendo un termine per la cancellazione dei dati che raccoglie ove questo non sia definito per legge. Inoltre potrebbe essere lo stesso interessato ad esercitare il suo diritto alla cancellazione dei suoi dati.
L’art. 4 del GDPR, come già la previgente normativa affermava, individua nella “cancellazione” e nella “distruzione” del dato un “trattamento”. Pertanto la cancellazione/distruzione del dato è un’attività da svolgersi all'interno del perimetro del GDPR, seguendone cioè le regole. Alla luce di quanto sopra, pertanto, un Titolare deve tenere i dati per il tempo strettamente necessario per erogare il servizio/prodotto e quindi procedere alla loro cancellazione/distruzione. Ciò significa che il dato non deve essere in alcun modo recuperabile o associabile all'interessato.
Il venir meno delle condizioni di sicurezza nelle operazioni di cancellazione/distruzione dei dati potrebbe portare a sanzioni fino a 20.000.000,00 di euro o al 4% del fatturato mondiale annuo del gruppo imprenditoriale se superiore a 20 MLn.
2. Come valuta la situazione Italiana in merito a questo aspetto? Le aziende includono nelle proprie policy di sicurezza IT e gestione del rischio anche soluzioni di cancellazione sicura dei dati?
Le imprese italiane sono ancora molto poco attente al processo di cancellazione/distruzione dei dati. Sia per quanto riguarda i dati cartacei, sia per quanto riguarda i dati digitali. Le imprese difficilmente hanno delle procedure che definiscono il periodo di conservazione dei dati, definendo ex ante dopo quanto tempo i dati verranno distrutti. In tal modo finiscono per conservare dati oltre il necessario, generando enormi archivi cartacei e digitali, spesso disorganizzati. In caso di controllo da parte dell’Autorità competente, queste aziende si troverebbero a dover giustificare al Garante non solo il perché della violazione di quanto previsto dal GDPR ma anche il perché della retention di dati non più necessari. In secondo luogo, le imprese, quando decidono di dismettere dei dati, non hanno adeguate procedure volte alla cancellazione definitiva e/o alla distruzione degli stessi. Per i dati cartacei servono appositi distruggi-documenti, per i dati digitali apposite procedure che garantiscano la cancellazione definitiva dei dati dai supporti.
3. Quali metodi sono maggiormente utilizzati dalle aziende che riciclano i vecchi pc e/o smartphone?
Spesso i device sono riutilizzati all'interno della struttura e/o donati all'esterno, pensando che una semplice formattazione degli hard disk sia sufficiente. In realtà i dati non sono stati cancellati ma semplicemente resi temporaneamente non visibili. Attraverso dei semplici tools software è possibile recuperare gran parte se, non tutti, i files presenti sugli hard disk. Si tratta non solo di un problema di privacy ma anche di un problema di business aziendale. Un’errata cancellazione dei dati potrebbe comportare la perdita di importanti asset informativi aziendali.
4. Quali sono gli scenari più comuni che prevedono la cancellazione sicura dei dati?
Non vi sono astrattamente degli scenari specifici. Tutti coloro che trattano i dati devono provvedere alla loro cancellazione sicura. Certo, se parliamo di rischio per gli interessati, coloro che si trovano a trattare dati particolari ex art. 9 sono i titolari/responsabili più a rischio: ospedali, case di cura per anziani, laboratori di analisi, consulenti del lavoro o grandi aziende che elaborano internamente le buste paga dei dipendenti, chi si occupa del welfare aziendale, chi tratta dati di minori, etc.
Spesso le imprese non considerano a fondo il tema. In realtà, pur avendo pochi “dati personali”, nei loro device vi sono “dati di business” per l’impresa ancora più preziosi e significativi. Fornendo consulenza alle imprese non solo in ambito privacy ma anche in ambito ISO 27001 mi trovo a predisporre procedure di cancellazione sicura anche per dati aziendali (magari protetti da brevetto).
5. Quali sono gli strumenti tecnici a disposizione per la cancellazione dei dati?
Le principali modalità per la cancellazione/distruzione dei dati sono:
- La distruzione fisica irreversibile del supporto attraverso metodi che garantiscono che sia impossibile ricostituire il supporto stesso, magari perché viene triturato.
- La smagnetizzazione del supporto attraverso uno specifico macchinario denominato degausser
- Una serie di sovrascritture dell’intero hard disk tramite apposite tecniche (wiping)
6. Qual è il valore nello scegliere una soluzione certificata?
Il GDPR, al cap. 5 par. 2 introduce il “principio dei principi” ovvero il principio di “responsabilizzazione”: Un titolare/responsabile, durante un’operazione di trattamento di dati personali, deve essere in grado di dimostrare che sta effettuando un trattamento in linea con il GDPR stesso. Vi è quindi un’inversione dell’onere della prova: è il titolare/responsabile che tratta i dati che deve dimostrare che lavora bene e non il contrario.
Nel caso della cancellazione/distruzione dei dati le imprese sono chiamate a dimostrare che cancellano/distruggono i dati in modo sicuro. Sono quindi necessarie apposite procedure, che noi elaboriamo in base al contesto, ma anche soluzioni certificate che siano in grado di dimostrare che il processo di distruzione è effettivamente andato a buon fine.
7. Sulla base della sua esperienza quali consigli si sente di dare alle aziende?
Per prima cosa invito le imprese ad affrontare il tema privacy come un’opportunità di crescita e non come un adempimento di legge da liquidare quanto prima. Una seria riflessione nella protezione dei dati personali svolta con professionisti della materia, porta con sé, sempre, una protezione dei dati aziendali e, quindi, una protezione del business aziendale.
Il tema privacy è strettamente legato al tema cybersecurity. Invito quindi ad affrontare il tema con uno sguardo più ampio, pensando anche ad un processo di certificazione ISO 27001. La creazione di un sistema per la protezione dei dati porta con se’ la scelta di soluzioni di trattamento sicure dall'inizio (privacy by design) e fino alla cancellazione/distruzione dei dati certificata.