Cancellazione apparente dei dati: conseguenze penali e civili

25/11/2015
di Leonardo

Nella gestione di un sistema informatico, la cancellazione di un file è una delle attività, apparentemente, più sicure e più facili da realizzare. Utilizzando, infatti, la specifica funzione del sistema operativo, l’utente è in grado di trasferire un file dalla cartella di residenza al cestino e successivamente eliminarlo.

Quando un file può dirsi cancellato?

Invero, questa operazione non comporta la cancellazione vera e propria del file, ma semplicemente autorizza il sistema operativo a utilizzare lo spazio precedentemente riservato a quel file per poter salvare ulteriori dati (sovrascrittura).

Ciò detto implica che le informazioni contenute nel file “cancellato” non sono in realtà eliminate definitivamente, ma permangono all’interno del sistema fino a che lo stesso non abbia sovrascritto del tutto lo spazio del file. Attraverso opportuni software, oramai molto diffusi, è possibile ripristinare il file rendendo visibile il contenuto delle informazioni presenti.

Le implicazioni legali

Cyber securityLa possibilità di recuperare i contenuti di un file apparentemente cancellato può comportare per il proprietario del file e per il titolare del trattamento dei dati contenuti diverse problematiche sia in ambito civile che penale.

Considerata, infatti, la rapida obsolescenza delle strutture informatiche nonché, in conformità al D. Lg. 151/2005 concernente lo smaltimento dei rifiuti elettronici, la forte promozione a livello europeo circa il reimpiego ed il riciclaggio delle apparecchiature elettroniche, con buona probabilità, quindi, i componenti hardware dismessi da una azienda saranno rivenduti sul mercato dell’usato.

Orbene, all’interno dell’hardware dismesso troppo spesso sono ancora presenti i dati del precedente proprietario. Infatti, secondo ricerca condotta nel 2014 da Blancco Technology Group e Kroll Ontrack, nel 57% dei dispositivi mobili e nel 75% degli hard disk usati acquistati online vi sono ancora presenti le informazioni dei precedenti proprietari.

La posizione del Garante

Tale problematica non è nuova nel panorama Italiano, dove, Il Garante per la protezione dei dati personali nel 2008, prendendo spunto anche dall’articolo apparso sulla stampa internazionale dove veniva riportata la notizia che per poche sterline era stato comprato su ebay un hard disk usato contenete ancora i dati bancari e finanziari di oltre un milione di soggetti, ha pubblicato le linee guida per l’idonea cancellazione dei dati personali dalle apparecchiature elettriche ed elettroniche.

Tali misure tecniche sono inserite all’interno degli allegati A e B della linea guida “rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali” vengono individuate le modalità sicure per la cancellazione dei dati” pubblicata in Gazzetta Ufficiale il 9 dicembre 2008

All’interno degli allegati si individuano tre macro aree di intervento per la sicurezza e riservatezza dei dati.

1. Misure tecniche preventive per la memorizzazione sicura dei dati

Attraverso tali misure il Garante ha voluto assicurare l’impossibilità d’accesso da parte di soggetti non autorizzati ai dati contenuti all’interno dei dispositivi dismessi, non già mediante la cancellazione dei dati, ma preventivamente mediante tecniche di memorizzazione sicure che garantiscano la riservatezza del dato per tutto il suo ciclo di vita.

Sostanzialmente il Garante fa riferimento alla tecnica di crittografia dei singoli file, delle collezioni di files, ovvero dell’intero sistema.

Utilizzando questa metodologia i dati contenuti all’interno degli apparati elettronici saranno visibili in forma intelliggibile soltanto dal soggetto provvisto di chiave di decifratura. Pertanto la dismissione di un supporto di memorizzazione crittografato, senza la sua chiave di decifrazione dovrebbe considerarsi sicura condizione che siano stati presi idonei provvedimenti in ordine alla conservazione della chiave.

2. Misure tecniche per la cancellazione sicura dei dati, applicabili a dispositivi elettronici o informatici

Tali misure individuano le tecniche efficaci di cancellazione sicura dei dati che potranno essere:

  • Utilizzo di software di wiping o shredder: come già detto sopra la rimozione di un file attraverso la procedura fornita dal sistema operativa non comporta l’eliminazione definitiva dei file, ma semplicemente autorizza il sistema a sovrascrivere quella porzione di spazio. Queste tipologie di software permettono di sovrascrivere il file cancellato più e più volte non rendendone possibile il recupero.Affinché la cancellazione, con dette modalità, sia considerata sicura, il numero di sovrascrizioni può variare da un minimo di 7 ad un massimo di 35 volte.
  • Formattazione a basso livello: tale tecnica, considerata da molti obsoleta e poco sicura, consente la cancellazione definitiva dei file contenuti nel supporto mediante il ripristino dello stesso alle condizioni iniziali di fabbrica.
  • Demagnetizzazione (degaussing) del supporto: è una delle tecniche considerate più sicure per l’eliminazione dei contenuti dai dispositivi magnetici e consiste nel sottoporre il supporto di memorizzazione magnetico o magneto-ottico a forti campi magnetici in grado di eliminare ogni traccia di dato presente all’interno.

3. Smaltimento dei rifiuti elettrici o elettronici

Ad eccezione del degaussing, tutti i metodi sopra descritti necessitano per la loro operatività la piena funzionalità del dispositivo da cancellare.

Qualora il supporto di memorizzazione non funzionasse, al fine di eliminare definitivamente i dati ivi contenuti si dovrà procedere mediante punzonatura o deformazione meccanica ovvero alla sua distruzione fisica o disintegrazione.

Quali sono le conseguenze in caso di accessibilità dei dati presenti all’interno del dispositivo dismesso?

In caso di accesso ai dati presenti su di un dispositivo dismesso ad opera di un soggetto non autorizzato, le conseguenze giuridiche ed economiche potranno essere diverse a seconda della tipologia di dati contenuti.

Infatti, oltre a rischi di diffusione di dati e del relativo know-how, in presenza di dati personali di cui il proprietario dell’hardware era titolare, potrà raffigurarsi in capo a quest’ultimo una responsabilità sia penale ex art. 169 Codice Privacy (fino a due anni di reclusione) che civile comprendente il risarcimento in caso di danni cagionati a terzi.

Pertanto in caso di dismissione, il proprietario dell’hardware dovrà sincerarsi della completa cancellazione dei dati ivi contenuti, ovvero nel caso in cui la dismissione venga operata da altro soggetto, dovrà garantirsi mediante accordo sulle misure tecniche adottate da quest’ultimo circa la cancellazione certa dei dati.

Riproduzione riservata ©

ALTRE NEWS

Assolto per curiosità dal reato di accesso abusivo

Costituisce reato consultare dati presso il data base aziendale senza alcun specifico motivo di lavoro? Cioè solo per dare un’occhiata ai fatti altrui? No, sembrerebbe… Leggi Tutto

Impianto di videosorveglianza all’interno di un supermercato – sentenza del 5 settembre 2013

Un’importante azienda del settore GDO ha incontrato lo stop da parte del Garante per la protezione dei dati personali in merito al proprio impianto di… Leggi Tutto

Legge sui dati UE: rinviata al 2015

Nuova vittoria per i colossi americani della tecnologia che sono riusciti ad ottenere il rinvio per almeno un altro anno dell’introduzione di norme più severe… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form