Il dumpster diving: dalla tutela della riservatezza al rispetto del GDPR
La gestione del rischio privacy è una questione complessa e che si sviluppa lungo diverse dimensioni, secondo i requisiti posti dal GDPR e dalle normative nazionali. In questa sede si richiama l’attenzione su una questione attinente alla fine del ciclo di vita delle informazioni, apparentemente del tutto residuale ma che, se non se ne ha consapevolezza, può essere foriera di rischi anche grandi, dal data breach al decadimento delle difese ai sistemi informativi oltre che reputazionali.
Il fenomeno, noto come dumpster diving (letteralmente: immersione nel cassonetto), è inerente alla fase di distruzione dei supporti - cartacei o IT - che contengono dati personali che, se svolta in maniera tecnicamente inadeguata, può comportare l’accesso a una molteplicità di informazioni: dalle password, impropriamente annotate su foglietti adesivi o riassunte in file su chiavette usb distrattamente cestinate, a dati personali particolari come quelli sanitari nonché, a latere della privacy, a informazioni riservate sul proprio business o, per una Pubblica Amministrazioni, a questioni istituzionali.
È necessario, nel contesto GDPR, che ogni titolare o responsabile del trattamento fra l’altro definisca, in sede di impostazione delle attività di trattamento, non solo i termini ultimi per la cancellazione dei dati ma anche le modalità da seguire: la tutela della riservatezza deve essere garantita anche quando si deve procedere alla distruzione dei supporti – non solo cartacei - contenenti dati personali o comunque riservati.
Con riguardo a tale questione si rappresenta che:
1.l’art. 4 del GDPR definisce trattamento di dati personali “qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come (...) la cancellazione o la distruzione”;
2.sono stati emanati standard sulla gestione documentale, che forniscono indicazioni sulla distruzione dei supporti in funzione della riservatezza. Uno dei più noti e diffusi è lo standard DIN 66399 (ripreso dallo standard ISO/IEC 21964/2018 Information technology) applicabile a un ventaglio di contenitori che va dalla carta ai supporti magnetici. Sono prefigurate tre classi di protezione (dalla normale necessità di protezione alla necessità di protezione piuttosto elevata per dati particolarmente riservati e soggetti a segretezza) e sette livelli di distruzione, ad es per la carta mediante la riduzione in frammenti di dimensione sempre più piccoli (5 mm2), in funzione del grado di riservatezza delle informazioni;
3.per la distruzione dei dati su supporto cartaceo, l’Opinion 3/2014 sui data breach del Gruppo di lavoro Articolo 29 (Gruppo dei Garanti pre-GDPR) menziona le apparecchiature “For example, a class 2 shredder at level P-4 or more in the DIN 66399 classification for paper documents”; peraltro, il Gruppo Art. 29 nella successiva Linea Guida sui data breach (2018), pur richiamando l’Opinion 4 / 2014 non fa rimando esplicito allo standard DIN 66399);
4.in anni più recenti, nel Manuale per gli RPD del 2019 (elaborato nell’ambito del progetto T4DATA con la partecipazione del Garante italiano) viene evidenziato che “ esistono standard formali sui metodi raccomandati per la cancellazione/distruzione per diverse categorie di dati e supporti di dati” menzionando lo standard DIN 66399 nonché il NIST Special Publication 800-88 Revision 1, Guidelines for Media Sanitization, e il National Security Agency/Central Security Service, Media Destruction Guidance, che fornisce una lista di apparecchiature per i diversi supporti da trattare;
5.il mercato è attento a questa esigenza e vi sono produttori di apparecchiature e operatori del settore gestione rifiuti che per i loro prodotti/servizi fanno riferimento allo richiamato standard DIN 66399 per le apparecchiature e alla certificazione UNI EN 15713:2009 per la gestione e il controllo della distruzione di documenti riservati.
Quella esposta, è una questione che per certi versi sembra una questione per spie di altri tempi ma così non è perché, anche sotto questo profilo, i rifiuti possono essere fonte di ricchezza (ai margini della legalità) sia per chi intenda consapevolmente (in fondo è una forma di social hacking) ricercare informazioni delicate facendo “snorkeling” nei contenitori di rifiuti, confidando sulla una scarsa sensibilità in argomento – e la questione è forse ancor più rilevante per la distruzione delle informazioni elettroniche per le quale non basta solo premere il tasto delete – sia perché chi oggi (purtroppo sempre più persone) cerca di sopravvivere selezionando i rifiuti che gettiamo nei cassonetti potrebbe raccogliere oggetti che potrebbero contenere informazioni pregiate da rivendere.
Concludendo: ogni titolare o responsabile del trattamento dovrebbe definire una policy per la distruzione dei dati, ricorrere a sistemi di distruzione idonei fra quelli resi disponibili dai produttori e promuovere consapevolezza fra gli incaricati del trattamento. Avendo presente che andare verso un mondo in cui i processi organizzativi siano sempre più paperless risolve solo un aspetto della questione, che rileva per ogni tipo di supporto dati. In ogni caso, ciascuno nel suo piccolo dovrà evitare di giocare a basket accartocciando le minute superate di documenti aziendali cercando di fare canestro nel cestino dei rifiuti!
