09 Apr 5_GDPR non ti temo – Operazioni periodiche: smaltimento dispositivi e tutele
Smaltimento corretto dei dispositivi dismessi.
Il ricambio di dispositivi informatici comporta che si debbano smaltire attraverso il consorzio di “recupero apparecchiature elettroniche” (RAEE), ma in caso di smaltimento non ci si preoccupa quasi mai dei dati personali contenuti in questi dispositivi (Personal Computetrr, Smartphone, Hard disk e chiavette esterne), che possono diventare potenziali veicoli per un furto di identità. Basti pensare se il nostro vecchio cellulare, magari utilizzato per l’internet bamking (come token) o la rubrica telefonica con i numeri privati per uno spear phishing.
Il cosiddetto tema della spazzatura elettronica (e-waste) va oltre le problematiche ambientali, dato che tutte le normative parlano di rifiuti “pericolosi” ma non di smaltimento dei dati.
Fin dal 2008 il Garante proprio di tale gestione si occupava dicendo che il Titolare:
«è tenuto ad adottare appropriate misure organizzative e tecniche volte a garantire la sicurezza dei dati personali trattati, nonché la loro protezione nei confronti di accessi non autorizzati, che possono verificarsi in occasione della dismissione dei menzionati apparati elettrici ed elettronici».
Questo quindi impone che si debba procedere all’effettiva cancellazione o trasformazione in forma non leggibile dei dati personali memorizzati, anche nel caso in cui lo smaltimento venga eseguito da soggetti terzi. E siccome tali soggetti non risultano obbligati alla distruzione dei dati personali sarà onere di chi smaltisce il RAEE di assicurarsi che si impegnino alla corretta eliminazione dei dati, o provvedere egli stesso a farlo preventivamente.
La non corretta gestione ed eliminazione dei dati si intende come violazione grave (si configura infatti l’impossibilità di distruggere su richiesta, il rischio di diffusione, la comunicazione a terzi non preventivamente autorizzati o formati) delle prescrizioni del GDPR.
Consigliamo di prendere atto sia delle precedenti prescrizioni del Garatnte Privacy, sia delle nuove richieste del GDPR, considerando indispensabili:
- la memorizzazione sicura dei dati (per esempio tramite criptazione);
- la cancellazione sicura (per esempio formattazione a basso livello o demagnetizzazione);
- lo smaltimento corretto (per esempio distruzione dei supporti ottici).
Già dal 2009 il Garante Europeo evidenziava la limitatezza dei provvedimenti adottati dalle Autorità nazionali e la necessità di un coordinamento tra normativa Privacy e RAEE, ricordando anche in tempi successivi che i rischi restano a carico dei Titolari e dei Responsabili nel caso in cui i RAEE contengano dati personali al momento dello smaltimento. Uno degli elementi più importanti è il seguente:
«Il nuovo quadro giuridico sui rifiuti elettrici ed elettronici dovrebbe contenere non soltanto una disposizione relativa al principio della progettazione ecocompatibile, ma anche una disposizione riguardante il principio della “Sicurezza sin dalla progettazione”». Così come d’altronde già previsto dal costrutto del GDPR nell’articolo 25.
Ora, esistono parecchi sistemi di conservazione sicura, con la criptazione di dischi e chiavette, in caso di perdita, o di utilizzo in mobilità. I dispositivi Samsung hanno integrato KNOX, un sistema a cui è dedicato anche questo approfondimento. (citazione)
Così come esistono servizi professionali per la cancellazione dei dati, anche tramite operazioni in cloud con rilascio del certificato di cancellazione e algoritmi riconosciuti come sicuri dai dipartimenti di sicurezza americani (molto pignoli su questioni di sicurezza).
Ma non molti sanno che, seguendo delle “semplici” istruzioni e con l’utilizzo di software “gratuiti” si possono ottenere gli stessi risultati di software di cancellazione costosi.
Queste operazioni sono molto tecniche e richiedono un po’ di competenza, ma sicuramente un tecnico sa metterle in pratica senza problemi.
Uno di questi software è DBAN, che rimuove le tracce sovrascrivendole (e rendendole quindi illeggibili ad un servizio di recupero).
INUTILE, MA FORSE NON TROPPO, RICORDARE CHE ATTUANDO LE ISTRUZIONI DI SEGUITO PERDERETE TUTTO IL CONTENUTO DELL’HARD DISK.
Innanzitutto scaricate l’immagine ISO di DBAN creando un CD o una chiavetta Usb avviabile (potete usare Rufus o qualsiasi altro programma che usate abitualmente). Dopodiché avviate il PC dandogli come priorità di Boot il CD o la chiavetta con DBAN.
Alla ripartenza vi troverete di fronte ad una schermata in vecchio stile DOS:
Alla schermata successiva ci saranno poche opzioni, tra cui “Enter” che permetterà di passare alla formattazione, scegliendo l’hard disk da processare:
Muovendosi con le frecce si seleziona l’hard disk da cancellare (suggeriamo di eseguire una sola cancellazione alla volta) e si sceglie il metodo di cancellazione, potendo scegliere tra il metodo veloce, quello riconosciuto dallo standard americano o la distruzione a livello forense (assolutamente irrecuperabile anche a livelli di processo professionale). I due sistemi “sicuri” potrebbero compromettere anche fisicamente l’hard disk processando più volte gli stessi settori e quindi facendo perdere la capacità di memorizzazione. Ovviamente più è complessa la formattazione più tempo ci metterà il processo di cancellazione, ARRIVANDO ANCHE A DECINE DI ORE PER CAPACITà DI HARD DISK NORMALMENTE REPERIBILI (500GB, 1 TB)
ATTENZIONE: IL PROCESSO “HARD” È ASSOLUTAMENTE DA EVITARE SU HARD DISK SSD E ANCHE IL SISTEMA “LIGHT” SAREBBE DA USARE AL MASSIMO UNA VOLTA
La struttura di un hard disk SSD infatti non si basa sulla capacità magnetica, ma sulla “bruciatura” di celle di memoria che pertanto hanno un numero limitato di utilizzi. La cancellazione comporterebbe lo spreco di tutte le “bruciature” possibile rendendo di fatto l’hard disk inutilizzabile.
(Metodo che può anche avere un senso se si deve distruggere rendendolo irrecuperabile)
