NEWS

Se la cancellazione dei dati è affidata a terzi serve il certificato di avvenuta distruzione

Come si cancellano i dati personali? Il primo scoglio da superare è la diversità di approccio operativo da quello normativo: il professionista tende a organizzare i dati per cliente oppure per incarico mentre la legge vuole che si cancellino i dati quando non più necessari allo scopo. Ne consegue che all’interno di una pratica o cartella informatica possano coesistere dati ancora necessari e dati che non lo sono più.

Lo studio delega a terzi? Serve il certificato di avvenuta distruzione

Quindi, per prima cosa, occorre selezionare il necessario dal superfluo, salvo che questa cernita sia già connaturata alla tipologia di carteggio, come avviene nell’ipotesi di una pratica di causa. Giunto il momento della cancellazione - cioè scadenza del tempo di conservazione o venir meno del motivo che legittima la stessa: per esempio, la revoca del consenso del soggetto all’uso dei propri dati a fini marketing - occorre procedere: se il materiale è su supporto cartaceo, la cancellazione consiste nella distruzione della carta, preferibilmente con macchinari trita-documenti, per evitare di ripetere quanto capitato a una farmacia che gettò nei contenitori dei rifiuti pacchi di prescrizioni mediche, dando luogo a un grave data breach, sanzionato.

Affidarsi a terzi - Se il materiale è voluminoso, magari sistemato in un archivio, è preferibile affidarsi a ditte specializzate, previa verifica del loro processo di smaltimento, meglio se certificato e con rilascio di un attestato di avvenuta distruzione.

Se il materiale da cancellare è su supporto informatico, vanno distinti i dati che sono da cancellare riguardo a determinate finalità ma che continuano a essere necessari per altre, dai dati che non servono più in assoluto. Nel primo caso, la cancellazione si traduce in una forma di blocco permanente di quei dati riguardo a quelle specifiche finalità, nel senso che le regole informatiche ne inibiscono l’uso (inclusa la visualizzazione).

La certificazione - Attenzione va prestata alla corretta gestione di questo processo per evitare di cadere nel medesimo errore di una banca spagnola che per l’apertura di un nuovo conto corrente da parte di un vecchio cliente che aveva già richiesto la cancellazione dei suoi dati causa fine del rapporto, ha condizionato la pratica a una dichiarazione di revoca della cancellazione da parte dell’interessato. La cancellazione, infatti, non ammette revoca: occorre richiedere di nuovo i dati, per cui la banca è stata sanzionata.

Se i dati da cancellare sono tutti su un unico supporto informatico, questo può essere o distrutto materialmente (in modo da renderlo inutilizzabile) oppure può essere lavorato con appositi software di sovrascrittura che non permettono la ricostruzione di quanto in precedenza memorizzato. In tutti questi casi, in base al principio di accountability che richiede al professionista di provare il suo adempimento, è bene documentare le operazioni effettuate.

di Rosario Imperiali (Fonte: Il Sole 24 Ore del 10 maggio 2021)

Note sull'Autore

Rosario Imperiali Rosario Imperiali

Avvocato, esperto di privacy e fondatore dell'Osservatorio Data Protection di House of Data Imperiali - Web: www.houseofdataimperiali.com

Prev Tabulati telefonici, caos sulla data retention
Next Superbonus 110%, le implicazioni per la privacy dei condomini

Il presidente di Federprivacy a Report Rai 3

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy