GDPR & DISTRUZIONE DATI SENSIBILI - COME E QUANDO DISTRUGGERE I DATI SENSIBILI SU CARTA ED ELETTRONICI? METODI CERTIFICATI E SICURI

Una volta individuata la scadenza di conservazione dei dati in archivio aziendale, gli stessi devono essere obbligatoriamente cancellati o distrutti. Si fa normalmente riferimento alla cancellazione relativamente a dati su supporto informatico, ottico o magnetico, mentre si parla di distruzione in caso di supporti cartacei o comunque fisici.​

Vediamo insieme quali sono i metodi per eliminare in modo efficace e sicuro i dati sensibili che, lo ricordiamo, devono preventivamente essere custoditi e protetti per il tempo che viene stabilito dal titolare del trattamento dati e che deve essere comunicato all'interessato con apposita informativa.

Nel caso specifico di documenti di natura amministrativa invece il periodo è fissato in 10 anni nella maggior parte dei casi.

All’articolo 25 del regolamento europeo in vigore Regolamento (UE) n. 2016/679 del 27 aprile 2016 (General Data Protection Regulation – GDPR), che abroga la direttiva 95/46/CE e si sostituisce alle normative nazionali, si impone infatti a tutti i titolari e responsabili, per tutti i trattamenti, di sviluppare un piano di protezione dati fin dalla progettazione del trattamento.

E' richiesta altresì la compilazione del Registro del trattamento, indispensabile anche per l'individuazione della collocazione dei dati nei vari archivi.

Il titolare del trattamento dovrà specificare anche come avverrà l'eliminazione.​

Occorre fare un distinguo tra la distruzione ove sia necessaria una certificazione, e/o video registrazione oppure la distruzione non certificata e comunque regolarmente gestita attraverso la modulistica che accompagnerà gli archivi all'impianto di recupero/smaltimento.​

Qual'è la differenza? La differenza sta nella procedura di raccolta e i certificazione di avvenuta distruzione che può essere fornita come nel caso del servizi  >> ZeroZeroDati

​DATI SU CARTA

La norma EN15713: 2009 – secure destruction of confidential material – Code of Practice, specificamente fa riferimento alle modalità con cui è possibile distruggere vari tipi di supporti, soprattutto cartacei.

Per quanto riguarda il materiale cartaceo la norma prevede otto livelli di distruzione (shred), passando da frammenti larghi alcuni millimetri, fino a porzioni di pochi millimetri quadrati di superficie.

Sarà sempre il Responsabile del trattamento a stabilirne il livello, sapendo che a livello 2/3 corrisponde una frammentazione per documenti meno "confidenziali" mentre al livello 7/8 corrisponde la massima sicurezza nella reperibilità dei dati.

Quando devono essere trattati dati per cui è richiesto un estremo livello di segretezza può essere effettuata la raccolta e distruzione "on-site" presso l'azienda cliente con supervisione del responsabile ed eventuale videoregistrazione dell'operatività a totale garanzia, oltre alla tracciabilità di tutte le successive fasi.

Questo tipo d servizio prevede anche la certificazione.

Diversamente, per faldoni e raccoglitori da eliminare, con contenuto "non sensibile", può essere avviato il recupero del materiale cartaceo, plastico o ferroso di cui sono composti, attraverso procedura prevista dal RENTRI.

DATI ELETTRONICI

Per quanto riguarda l'eliminazione dei dati da supporti elettronici è bene sapere che la semplice rimozione dei file o la formattazione dell´hard disk non garantiscono una vera cancellazione delle informazioni registrate, che rimangono fisicamente presenti e tecnicamente recuperabili. Si evince dunque che è necessario provvedere con sistemi che ne impediscano totalmente il recupero prima della cessione o dismissione degli apparecchi, con strumenti software di cancellazione sicura o con operazioni che li distruggano in modo irreversibile. In quest ultimo caso i supporti dovranno poi essere smaltiti a norma di legge come RAEE, come avviene grazie a >> UFFICIO 360

Si parla di demagnetizzazione quando vengono azzerate le aree di memoria elettronica del supporto; per i supporti elettronici quali CD-ROM, DVD-R si rende invece necessaria distruzione fisica e conseguente smaltimento dei residui.

Per gli hard-disk invece è di gran lunga consigliabile intervenire attraverso i cosiddetti "punzonatori" che ne deformino irrimediabilmente il supporto, a patto che non si intendano riutilizzare.

Qualora non si voglia danneggiare l'apparecchio, (ad esempio per i parchi PC in noleggio alle aziende) ma avere comunque garanzia di assoluta irreperibilità dei dati precedentemente contenuti, è possibile affidarsi al servizio certificato offerto da ZeroZeroDati attraverso delle USB-PEN DRIVE da inserire semplicemente nel PC che installeranno un sotfware che sovrascrive, fino all'illeggibilità, tutti i dati presenti nella porzione di disco prescelta.

Consigliamo infine di affidarsi sempre a soluzioni con procedimenti conformi alla normativa europea.

Per avere maggiori informazioni e suggerimenti sulle procedure di cancellazione e distruzione dati privacy contattaci direttamente >> da qui