Cancellazione apparente dei dati: conseguenze penali e civili

25/11/2015
di Leonardo

Nella gestione di un sistema informatico, la cancellazione di un file è una delle attività, apparentemente, più sicure e più facili da realizzare. Utilizzando, infatti, la specifica funzione del sistema operativo, l’utente è in grado di trasferire un file dalla cartella di residenza al cestino e successivamente eliminarlo.

Quando un file può dirsi cancellato?

Invero, questa operazione non comporta la cancellazione vera e propria del file, ma semplicemente autorizza il sistema operativo a utilizzare lo spazio precedentemente riservato a quel file per poter salvare ulteriori dati (sovrascrittura).

Ciò detto implica che le informazioni contenute nel file “cancellato” non sono in realtà eliminate definitivamente, ma permangono all’interno del sistema fino a che lo stesso non abbia sovrascritto del tutto lo spazio del file. Attraverso opportuni software, oramai molto diffusi, è possibile ripristinare il file rendendo visibile il contenuto delle informazioni presenti.

Le implicazioni legali

Cyber securityLa possibilità di recuperare i contenuti di un file apparentemente cancellato può comportare per il proprietario del file e per il titolare del trattamento dei dati contenuti diverse problematiche sia in ambito civile che penale.

Considerata, infatti, la rapida obsolescenza delle strutture informatiche nonché, in conformità al D. Lg. 151/2005 concernente lo smaltimento dei rifiuti elettronici, la forte promozione a livello europeo circa il reimpiego ed il riciclaggio delle apparecchiature elettroniche, con buona probabilità, quindi, i componenti hardware dismessi da una azienda saranno rivenduti sul mercato dell’usato.

Orbene, all’interno dell’hardware dismesso troppo spesso sono ancora presenti i dati del precedente proprietario. Infatti, secondo ricerca condotta nel 2014 da Blancco Technology Group e Kroll Ontrack, nel 57% dei dispositivi mobili e nel 75% degli hard disk usati acquistati online vi sono ancora presenti le informazioni dei precedenti proprietari.

La posizione del Garante

Tale problematica non è nuova nel panorama Italiano, dove, Il Garante per la protezione dei dati personali nel 2008, prendendo spunto anche dall’articolo apparso sulla stampa internazionale dove veniva riportata la notizia che per poche sterline era stato comprato su ebay un hard disk usato contenete ancora i dati bancari e finanziari di oltre un milione di soggetti, ha pubblicato le linee guida per l’idonea cancellazione dei dati personali dalle apparecchiature elettriche ed elettroniche.

Tali misure tecniche sono inserite all’interno degli allegati A e B della linea guida “rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali” vengono individuate le modalità sicure per la cancellazione dei dati” pubblicata in Gazzetta Ufficiale il 9 dicembre 2008

All’interno degli allegati si individuano tre macro aree di intervento per la sicurezza e riservatezza dei dati.

1. Misure tecniche preventive per la memorizzazione sicura dei dati

Attraverso tali misure il Garante ha voluto assicurare l’impossibilità d’accesso da parte di soggetti non autorizzati ai dati contenuti all’interno dei dispositivi dismessi, non già mediante la cancellazione dei dati, ma preventivamente mediante tecniche di memorizzazione sicure che garantiscano la riservatezza del dato per tutto il suo ciclo di vita.

Sostanzialmente il Garante fa riferimento alla tecnica di crittografia dei singoli file, delle collezioni di files, ovvero dell’intero sistema.

Utilizzando questa metodologia i dati contenuti all’interno degli apparati elettronici saranno visibili in forma intelliggibile soltanto dal soggetto provvisto di chiave di decifratura. Pertanto la dismissione di un supporto di memorizzazione crittografato, senza la sua chiave di decifrazione dovrebbe considerarsi sicura condizione che siano stati presi idonei provvedimenti in ordine alla conservazione della chiave.

2. Misure tecniche per la cancellazione sicura dei dati, applicabili a dispositivi elettronici o informatici

Tali misure individuano le tecniche efficaci di cancellazione sicura dei dati che potranno essere:

  • Utilizzo di software di wiping o shredder: come già detto sopra la rimozione di un file attraverso la procedura fornita dal sistema operativa non comporta l’eliminazione definitiva dei file, ma semplicemente autorizza il sistema a sovrascrivere quella porzione di spazio. Queste tipologie di software permettono di sovrascrivere il file cancellato più e più volte non rendendone possibile il recupero.Affinché la cancellazione, con dette modalità, sia considerata sicura, il numero di sovrascrizioni può variare da un minimo di 7 ad un massimo di 35 volte.
  • Formattazione a basso livello: tale tecnica, considerata da molti obsoleta e poco sicura, consente la cancellazione definitiva dei file contenuti nel supporto mediante il ripristino dello stesso alle condizioni iniziali di fabbrica.
  • Demagnetizzazione (degaussing) del supporto: è una delle tecniche considerate più sicure per l’eliminazione dei contenuti dai dispositivi magnetici e consiste nel sottoporre il supporto di memorizzazione magnetico o magneto-ottico a forti campi magnetici in grado di eliminare ogni traccia di dato presente all’interno.

3. Smaltimento dei rifiuti elettrici o elettronici

Ad eccezione del degaussing, tutti i metodi sopra descritti necessitano per la loro operatività la piena funzionalità del dispositivo da cancellare.

Qualora il supporto di memorizzazione non funzionasse, al fine di eliminare definitivamente i dati ivi contenuti si dovrà procedere mediante punzonatura o deformazione meccanica ovvero alla sua distruzione fisica o disintegrazione.

Quali sono le conseguenze in caso di accessibilità dei dati presenti all’interno del dispositivo dismesso?

In caso di accesso ai dati presenti su di un dispositivo dismesso ad opera di un soggetto non autorizzato, le conseguenze giuridiche ed economiche potranno essere diverse a seconda della tipologia di dati contenuti.

Infatti, oltre a rischi di diffusione di dati e del relativo know-how, in presenza di dati personali di cui il proprietario dell’hardware era titolare, potrà raffigurarsi in capo a quest’ultimo una responsabilità sia penale ex art. 169 Codice Privacy (fino a due anni di reclusione) che civile comprendente il risarcimento in caso di danni cagionati a terzi.

Pertanto in caso di dismissione, il proprietario dell’hardware dovrà sincerarsi della completa cancellazione dei dati ivi contenuti, ovvero nel caso in cui la dismissione venga operata da altro soggetto, dovrà garantirsi mediante accordo sulle misure tecniche adottate da quest’ultimo circa la cancellazione certa dei dati.

Riproduzione riservata ©

ALTRE NEWS

E-sorveglianza per i video sorveglianti!

Video sorveglianti attenzione: siete sorvegliati! È difatti nato il progetto Anopticon (www.Tramaci.org) che consiste nella creazione di una mappa dove sono riportate le posizioni delle… Leggi Tutto

Dossier sanitario e sicurezza dei sistemi informativi

Il seminario dell’Autorità garante per la protezione dei dati personali Sistemi informativi in ambito sanitario e protezione dei dati personali, tenutosi a Roma lo scorso… Leggi Tutto

Dispositivi sul lavoro? I diritti dell’azienda

Ha sollevato scalpore la recente notizia del dipendente licenziato per un uso illegittimo del cellulare, peraltro non avendone abusato direttamente ma avendo omesso di sorvegliare… Leggi Tutto

AziendaSpeech & Eventi

COLIN & PARTNERS

CHI SIAMO

Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI

Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE

Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.