17 Gennaio 2022

L’importanza di smaltire correttamente i vecchi dispositivi aziendali

GIULIO ELLESE

Immagine dell'articolo: <span>L’importanza di smaltire correttamente i vecchi dispositivi aziendali</span>

Abstract

Il seguente articolo mira a sensibilizzare sull’importanza di applicare le misure proposte dal Garante Privacy in ambito di dismissione dei vecchi terminali, al fine di garantire la protezione dei dati personali dei possibili interessati dal trattamento.

Per evidenziare la necessità di tali precauzioni, viene inoltre proposto un esempio di fantasia dal quale è possibile ricavare i possibili rischi di violazione dei dati personali.

 

***

Introduzione al problema

Se è vero che da anni la tecnologia è partner integrante dell’attività di imprese, associazioni, fondazioni, enti, istituzioni, è altrettanto vero che essa tende a divenire obsoleta con il trascorrere del tempo.

Dismettere i vecchi computer, tablet, server e smartphones sta diventando un’operazione sempre più frequente per la presenza di modelli più performanti e con sistemi costantemente aggiornati.

Ragioni di sicurezza e necessità di migliori prestazioni rendono così il vecchio computer sul quale a malapena girava Windows 7 – il cui supporto è cessato nel gennaio 2020 - un reperto da museo e un pericolo informatico. Si può semplicemente consegnare il vecchio PC all’isola ecologica? La risposta è no, ed ecco il perché.

 

Gli accorgimenti da prendere

Qualora il dispositivo sia così obsoleto da non poter più essere impiegato all’interno dell’azienda, fare una mera cancellazione dei dati presenti, o una “formattazione” standard, prima di procedere con lo smaltimento non basta. Per le loro proprietà “fisiche”, sia gli hard disk che gli SSD[1] permettono un possibile recupero parziale dei dati, grazie ai frammenti di zero e uno (le informazioni) in essi contenuti, e all’utilizzo di appositi programmi. Sul punto, il Garante Privacy italiano è intervenuto già nel lontano 2008 con un provvedimento e delle istruzioni pratiche così lungimiranti da risultare ancor oggi attuali.

Nell’Allegato B del provvedimento del 13 ottobre 2008[2] viene spiegato che, in caso di smaltimento di rifiuti elettrici ed elettronici, «l'effettiva cancellazione dei dati personali dai supporti contenuti nelle apparecchiature elettriche ed elettroniche può anche risultare da procedure che, nel rispetto delle normative di settore, comportino la distruzione dei supporti di memorizzazione di tipo ottico o magneto-ottico in modo da impedire l’acquisizione indebita di dati personali».

Tale processo di distruzione può avvenire in tre modi:

    • sistemi di punzonatura o deformazione meccanica;

    • distruzione fisica o di disintegrazione;

    • demagnetizzazione ad alta intensità.

Il 12 dicembre 2008, con le“Istruzioni pratiche per una cancellazione sicura dei dati: le raccomandazioni degli operatori”, il Garante ha provveduto a fare il punto della situazione sulle tecniche che consentono di ottenere una cancellazione sicura delle informazioni.

Nel caso dello smaltimento, è necessario procedere con la “demagnetizzazione” (c.d. degaussing) oppure con la “istruzione” dell’unità di memoria.

È infatti previsto dalle Istruzioni che, nel caso dei dispositivi non più funzionali/riutilizzabili all’interno di un’organizzazione, ovvero quando non si possano utilizzare le misure “software”, «occorre procedere con modalità hardware, basate sull’uso di dispositivi di demagnetizzazione (degausser), o con la distruzione fisica».

La “demagnetizzazione” dei dischi consiste in un procedimento che, oltre ad azzerare i dati, agisce anche sui circuiti elettronici del disco, rendendolo inutilizzabile.

La distruzione fisica invece - come suggerisce il nome - consiste in un intervento con il quale si va a danneggiare irreparabilmente la superficie dei dischi tramite l’azione deformante di uno strumento oppure appositi punzonatori. Ovvero, nel caso di CD e DVD, tramite l’utilizzo dei tritacarta.

 

L’importanza di applicare le misure di protezione dati in sede di smaltimento: un esempio di fantasia dalle ripercussioni reali

Per quanto il PC sia un RAEE (Rifiuti da Apparecchiature Elettriche ed Elettroniche)[3] e richieda un corretto smaltimento, bisogna prendere particolari precauzioni se si è un’impresa, associazione, fondazione, lavoratore autonomo, o anche un collaboratore.

Questo in virtù del principio di Responsabilizzazione, introdotto dal Regolamento Europeo sulla Protezione dei dati personali[4], nei confronti dei Titolari e Responsabili del trattamento. Anche il privato cittadino - non soggetto alla normativa in oggetto - farebbe comunque bene a prendere in considerazione l’applicazione delle misure, perché il proprio dispositivo potrebbe infatti contenere ancora dei dati personali, la contabilità, estratti conto, oppure dei dati soggetti al segreto industriale o a proprietà intellettuale.

Prendiamo ad esempio l’obsoleto PC dell’Associazione Amici del Canile di Topolinia.

Nella memoria del computer potrebbero essere rimasti annunci riguardanti i cani ospitati dalla struttura, nonché informazioni riguardanti le persone, quali i nominativi e recapiti degli adottanti, dei soci membri e/o volontari, o di coloro che abbiano disposto una donazione.

Quali potrebbero essere le possibili conseguenze nel caso in cui queste informazioni cadessero in mani sbagliate, quali quelle di Gambadilegno?

Senza dilungarci in un’analisi che richiederebbe una Valutazione del Rischio Privacy (c.d.DPIA)[5], potremmo ipotizzare che Gambadilegno, sulla base dei dati ricavati, potrebbe pianificare delle truffe a scapito di coloro che in passato avevano fatto delle donazioni, magari spacciandosi per un volontario con tanto di tessera associativa stampata grazie al fac-simile presente sul PC. Oppure organizzare una finta raccolta fondi online, sfruttando le foto presenti sul PC e l’accesso al profilo social della segretaria, rimasto salvato in memoria.

Alleandosi con Macchia Nera, potrebbe invece organizzare una serie di rapimenti dei cani dati in affido per chiedere un riscatto, oppure organizzare una campagna di attacchi di phishing e ransomware, inviando e-mail malevole a tutti gli indirizzi di posta elettronica presenti nella rubrica.

Anche l’associazione più “innocua”, e che apparentemente non ha niente a che spartire con la protezione dei dati personali, potrebbe rivelare del potenziale per la compromissione dei diritti delle persone. Se il PC dell’Associazione Amici del Canile di Topolinia diventasse quello di un’associazione sindacale, un partito politico, un medico, un insegnante, o un commercialista, la faccenda diventerebbe ancora più grave, per le particolari tipologie di dati trattati.

 

[1]     Acronimo per “Solid State Drive”.

[2]     https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/1571514

[3]     Direttiva 2012/19/UE, D.Lgs 151/2005 s.m.i., D.M. n. 185 del 25 settembre 2007.

[4]     Regolamento UE 2016/679.

[5]     Acronimo per “Data Protection Impact Assessment”.

Altri Talks