Tutti quelli che usano strumenti informatici sanno cos’è l’obsolescenza, anche se non sanno darne una definizione. L’obsolescenza (insieme a guasti e rotture) è, infatti, uno dei motivi principali per cui un pc, un server o un cellulare vengono sostituiti più spesso di una scrivania, di un divano o di un armadio.

Solo che mentre quando si dà via un armadio ci si preoccupa di ripulirlo di tutti gli oggetti personali contenuti, non sempre quando – per qualsiasi motivo – dismettiamo le apparecchiature elettroniche ci premuriamo di eliminare in modo efficace i dati personali ivi memorizzati.

Nelle mie lezioni in materia di privacy ne parlo sempre: quando si dismette il proprio “usato informatico” è necessario seguire alcune (semplici) cautele per evitare che qualcun altro possa facilmente accedere a mail, indirizzi, foto, password dei servizi web utilizzati (home banking, social networks ecc.). Si tratta di un tema di importanza trasversale: aziende, professionisti, pubbliche amministrazioni e privati cittadini sono tutti tenuti ad adottare specifiche cautele al fine di non esporre i propri dati e quelli di terzi (amici, fornitori o clienti) a rischi seri come manipolazione o furto di identità.

A fronte dell’importanza di questi accorgimenti si rileva che, nella prassi,  vengono raramente adottati e sono sempre più frequenti casi di accesso non consentito ai dati personali memorizzati su apparecchiature elettroniche a seguito di una  “rottamazione” non sicura. Il fenomeno è tanto preoccupante da spingere il Garante per la Protezione dei Dati Personali ad occuparsene con uno specifico provvedimento.

Il provvedimento ha il pregio di richiamare l’attenzione di tutti coloro che dismettono apparecchiature elettroniche sulla necessità “di adottare idonei accorgimenti e misure, anche con l’ausilio di terzi tecnicamente qualificati volti a prevenire accessi non consentiti ai dati personali memorizzati “. Mi preme rilevare che – differentemente da quanto ho sentito – con il provvedimento in questione il Garante non introduce nuovi obblighi ma, semplicemente, illustra come rispettare compiutamente le norme vigenti in materia di misure di sicurezza (art. 31 e ss.; art. 154 e Allegato B D. Lgs. n. 196/2003); nel provvedimento si trovano una serie di preziosi suggerimenti che i più attenti al dettato normativo seguivano già. In particolare:

a) adozione di misure tecniche preventive per la memorizzazione sicura (mediante cifratura) dei dati;
b) adozione di misure tecniche per la cancellazione sicura dei dati (mediante appositi software oppure attraverso formattazione a basso livello o demagnetizzazione);
c) smaltimento che comporti la distruzione dei supporti in modo da impedire l’indebita acquisizione di dati personali.

Nel caso in cui il titolare del trattamento non abbia le competenze per provvedere a queste operazioni, sarà necesario conferire l’incarico a un terzo soggeto (specializzato) che attesti di averle eseguite.

Per chi non lo avesse già fatto, queste procedure devono essere previste nel famigerato Documento Programmatico sulla Sicurezza (DPS) e negli accordi con i fornitori di servizi informatici. Infatti dall’inosservanza di queste cautele, come ricorda il Garante, può derivare una responsabilità penale (per omessa adozione delle misure di sicurezza) e – in caso di danni arrecati a terzi – anche civile.

Meglio pensarci prima di vendere il cellulare su ebay o prima di dare via tutti i computer del nostro ufficio.