Cancellazione apparente dei dati: conseguenze penali e civili

25/11/2015
di Leonardo

Nella gestione di un sistema informatico, la cancellazione di un file è una delle attività, apparentemente, più sicure e più facili da realizzare. Utilizzando, infatti, la specifica funzione del sistema operativo, l’utente è in grado di trasferire un file dalla cartella di residenza al cestino e successivamente eliminarlo.

Quando un file può dirsi cancellato?

Invero, questa operazione non comporta la cancellazione vera e propria del file, ma semplicemente autorizza il sistema operativo a utilizzare lo spazio precedentemente riservato a quel file per poter salvare ulteriori dati (sovrascrittura).

Ciò detto implica che le informazioni contenute nel file “cancellato” non sono in realtà eliminate definitivamente, ma permangono all’interno del sistema fino a che lo stesso non abbia sovrascritto del tutto lo spazio del file. Attraverso opportuni software, oramai molto diffusi, è possibile ripristinare il file rendendo visibile il contenuto delle informazioni presenti.

Le implicazioni legali

Cyber securityLa possibilità di recuperare i contenuti di un file apparentemente cancellato può comportare per il proprietario del file e per il titolare del trattamento dei dati contenuti diverse problematiche sia in ambito civile che penale.

Considerata, infatti, la rapida obsolescenza delle strutture informatiche nonché, in conformità al D. Lg. 151/2005 concernente lo smaltimento dei rifiuti elettronici, la forte promozione a livello europeo circa il reimpiego ed il riciclaggio delle apparecchiature elettroniche, con buona probabilità, quindi, i componenti hardware dismessi da una azienda saranno rivenduti sul mercato dell’usato.

Orbene, all’interno dell’hardware dismesso troppo spesso sono ancora presenti i dati del precedente proprietario. Infatti, secondo ricerca condotta nel 2014 da Blancco Technology Group e Kroll Ontrack, nel 57% dei dispositivi mobili e nel 75% degli hard disk usati acquistati online vi sono ancora presenti le informazioni dei precedenti proprietari.

La posizione del Garante

Tale problematica non è nuova nel panorama Italiano, dove, Il Garante per la protezione dei dati personali nel 2008, prendendo spunto anche dall’articolo apparso sulla stampa internazionale dove veniva riportata la notizia che per poche sterline era stato comprato su ebay un hard disk usato contenete ancora i dati bancari e finanziari di oltre un milione di soggetti, ha pubblicato le linee guida per l’idonea cancellazione dei dati personali dalle apparecchiature elettriche ed elettroniche.

Tali misure tecniche sono inserite all’interno degli allegati A e B della linea guida “rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali” vengono individuate le modalità sicure per la cancellazione dei dati” pubblicata in Gazzetta Ufficiale il 9 dicembre 2008

All’interno degli allegati si individuano tre macro aree di intervento per la sicurezza e riservatezza dei dati.

1. Misure tecniche preventive per la memorizzazione sicura dei dati

Attraverso tali misure il Garante ha voluto assicurare l’impossibilità d’accesso da parte di soggetti non autorizzati ai dati contenuti all’interno dei dispositivi dismessi, non già mediante la cancellazione dei dati, ma preventivamente mediante tecniche di memorizzazione sicure che garantiscano la riservatezza del dato per tutto il suo ciclo di vita.

Sostanzialmente il Garante fa riferimento alla tecnica di crittografia dei singoli file, delle collezioni di files, ovvero dell’intero sistema.

Utilizzando questa metodologia i dati contenuti all’interno degli apparati elettronici saranno visibili in forma intelliggibile soltanto dal soggetto provvisto di chiave di decifratura. Pertanto la dismissione di un supporto di memorizzazione crittografato, senza la sua chiave di decifrazione dovrebbe considerarsi sicura condizione che siano stati presi idonei provvedimenti in ordine alla conservazione della chiave.

2. Misure tecniche per la cancellazione sicura dei dati, applicabili a dispositivi elettronici o informatici

Tali misure individuano le tecniche efficaci di cancellazione sicura dei dati che potranno essere:

  • Utilizzo di software di wiping o shredder: come già detto sopra la rimozione di un file attraverso la procedura fornita dal sistema operativa non comporta l’eliminazione definitiva dei file, ma semplicemente autorizza il sistema a sovrascrivere quella porzione di spazio. Queste tipologie di software permettono di sovrascrivere il file cancellato più e più volte non rendendone possibile il recupero.Affinché la cancellazione, con dette modalità, sia considerata sicura, il numero di sovrascrizioni può variare da un minimo di 7 ad un massimo di 35 volte.
  • Formattazione a basso livello: tale tecnica, considerata da molti obsoleta e poco sicura, consente la cancellazione definitiva dei file contenuti nel supporto mediante il ripristino dello stesso alle condizioni iniziali di fabbrica.
  • Demagnetizzazione (degaussing) del supporto: è una delle tecniche considerate più sicure per l’eliminazione dei contenuti dai dispositivi magnetici e consiste nel sottoporre il supporto di memorizzazione magnetico o magneto-ottico a forti campi magnetici in grado di eliminare ogni traccia di dato presente all’interno.

3. Smaltimento dei rifiuti elettrici o elettronici

Ad eccezione del degaussing, tutti i metodi sopra descritti necessitano per la loro operatività la piena funzionalità del dispositivo da cancellare.

Qualora il supporto di memorizzazione non funzionasse, al fine di eliminare definitivamente i dati ivi contenuti si dovrà procedere mediante punzonatura o deformazione meccanica ovvero alla sua distruzione fisica o disintegrazione.

Quali sono le conseguenze in caso di accessibilità dei dati presenti all’interno del dispositivo dismesso?

In caso di accesso ai dati presenti su di un dispositivo dismesso ad opera di un soggetto non autorizzato, le conseguenze giuridiche ed economiche potranno essere diverse a seconda della tipologia di dati contenuti.

Infatti, oltre a rischi di diffusione di dati e del relativo know-how, in presenza di dati personali di cui il proprietario dell’hardware era titolare, potrà raffigurarsi in capo a quest’ultimo una responsabilità sia penale ex art. 169 Codice Privacy (fino a due anni di reclusione) che civile comprendente il risarcimento in caso di danni cagionati a terzi.

Pertanto in caso di dismissione, il proprietario dell’hardware dovrà sincerarsi della completa cancellazione dei dati ivi contenuti, ovvero nel caso in cui la dismissione venga operata da altro soggetto, dovrà garantirsi mediante accordo sulle misure tecniche adottate da quest’ultimo circa la cancellazione certa dei dati.

Riproduzione riservata ©

ALTRE NEWS

Le prime ‘sperimentazioni’ della fatturazione elettronica tra razionalizzazione e ottimizzazione dei processi

La notizia è del 3 febbraio scorso (www.corrieredellecomunicazioni.it) e ci mette al corrente dei nuovi sviluppi della fatturazione elettronica e soprattutto della sua prima esperienza con… Leggi Tutto

Videosorveglianza: le registrazioni video difensive costituiscono prova atipica

E´ recente la sentenza ( n. 30177/2013) con la quale la Suprema Corte ha fornito un orientamento giurisprudenziale in relazione alla qualificazione giuridica, nonché sul… Leggi Tutto

Cosa manca all’atteso FSE per essere operativo?

A che punto siamo con il Fascicolo Sanitario Elettronico? Ne hanno scritto NCF – Notiziario Chimico Farmaceutico e Tecnica Ospedaliera, dando spazio all’analisi dell’Avv. Valentina… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form