Il processo di sanitizzazione del dato come parte integrante della Privacy e sicurezza informatica
Il principio di Accountability, introdotto dal Regolamento UE 2016/679 (GDPR) permea di se l’intero sistema previsto dal legislatore comunitario in materia di protezione dei dati personali dei cittadini europei.
A ben vedere, si tratta di un meccanismo che, in qualche modo, era già presente nell’ordinamento italiano, basti pensare all’espresso richiamo contenuto dall’art. 15 Del Codice della Privacy, ora abrogato, ed all’art. 2050 del codice civile.
Difatti, l’attenta lettura delle sopra richiamate norme si basava (e continua a basarsi) su alcuni capisaldi:
1) Il trattamento dei dati è un’attività pericolosa;
2) Presunzione di colpa in capo al Titolare del trattamento;
3) Necessità dell’adozione delle c.d. “misure idonee” al fine di superare la suddetta presunzione di colpa, laddove la mera applicazione delle “misure minime” elencate nell’allegato B del Codice Privacy, poteva non essere di per se sufficiente ad evitare le pesanti responsabilità del Titolare del trattamento, con particolare riferimento alle responsabilità di natura civilistica;
4) Onere della prova di aver adottato le misure di cui al punto che precede in capo al Titolare del trattamento
il principio di Accountability impone quindi ai titolari e ai responsabili del trattamento quanto segue:
• Responsabilizzazione: adozione di tutte le misure necessarie per evitare o se è il caso contenere eventuali violazioni di dati personali;
• Consapevolezza: possedere un adeguato livello di formazione e conoscenza delle dinamiche aziendali proprie e dei rischi che i trattamenti che pongono in essere possono incontrare;
• Rendicontazione: documentare e dimostrare all’autorità di controllo che il trattamento dei dati viene effettuato in conformità al regolamento europeo in materia di protezione dei dati personali.
In sostanza, in base al principio di accountability, il titolare del trattamento dei dati deve essere in grado di dimostrare in maniera circostanziata alle autorità competenti, da un lato, e ai proprietari dei dati, dall’altro, di aver fatto tutto il possibile per proteggere i dati (vedi anche l’art. 24 del GDPR che richiede al titolare di mettere in atto misure tecniche ed organizzative adeguate a garantire ed essere in grado di dimostrare, che il trattamento sia attuato conformemente al Regolamento UE).
E tutto questo dal momento dell’acquisizione del dato fino alla fine del ciclo vita dello stesso, quando, cessato il periodo di data retention, il dato deve essere cancellato e/o distrutto, ricordando altresì come queste ultime due operazioni costituiscono a loro volta dei trattamenti con ciò che ne consegue in termini di adempimenti.
La sanitizzazione del dato
Si definisce sanificazione dei dati quel processo attraverso il quale si procede deliberatamente a rimuovere permanentemente ed irreversibilmente i dati informatici contenuti su un supporto di memorizzazione in modo che sia impossibile ricostruirli.
In ottica olistica la protezione dei dati deve difatti contemplare tutti i possibili attacchi anche sui supporti di memorizzazione e hardware.
Un processo di sanitizzazione dati su supporti dismessi garantisce l’indisponibilità degli stessi a terzi o ad attacchi di laboratorio alle apparecchiature fuori uso.
Senza questo ,Privacy e Cyber Security non potranno mai essere complete poiché “la porta sul retro è sempre aperta ” … e quindi rendere vulnerabile l’intera infrastruttura
Un supporto sanificato non contiene alcun dato residuale recuperabile neanche attraverso avanzate tecniche forensi.
Non bisogna altresì dimenticare neanche che la cancellazione sicura dei dati, oggi, è un obbligo di legge, atteso che il (GDPR) prevede all’art.13 che l’interessato possa richiedere al titolare del trattamento la cancellazione dei propri dati personali ed a quel punto il titolare potrebbe anche essere chiamato a dare dimostrazione dell’avvenuta cancellazione del dato personale fornendo documentazione idonea.
Per quanto riguarda il recupero dei dati, esistono varie tecniche che possono essere applicate al fine di recuperare i dati dopo che un processo di sanitizzazione è stato applicato al dispositivo o al supporto.
In base agli sforzi di recupero fino ad attacchi forensi altamente sofisticati che utilizzano tecniche all’avanguardia, viene inquadrato uno scenario con tre livelli all’interno della matrice delle minacce che possono essere utilizzati al fine di determinare il tipo corretto di set di strumenti o tecniche da utilizzare.
Certificazioni & Standard
Attese le pesanti responsabilità che fanno capo al Titolare del Trattamento, peraltro estese nel tempo, è necessario prendere in debita considerazione quali possano essere le modalità attraverso le quali il Data Controller possa fornire la proba liberatoria in caso di “data breach” e quindi la dimostrazione del corretto trattamento (accountability & due diligence).
In realtà bisogna considerare l’attività di sanificazione come un processo, che si può di seguito sintetizzare:
– Valutazione delle attività in fase di dismissione
– Valutazione di impatto in caso di dati presenti (GDPR/Corporate/DPIA)
– Riutilizzo , recupero e smaltimento delle risorse
– Identificazione dei corretti metodi di sanitizzazione: erase, degaussing, distruzione o combinazione di essi
– Piani di trasporto sicuri degli assett dismessi in caso di attività off site
– Definizione requisiti contrattuali IT
– Utilizzo di standard internazionali e certificazioni per garanzie del trattamento
È del tutto evidente il ruolo delle c.d. “best practice” quali circostanze esimenti della responsabilità in capo al titolare, qualora quest’ultimo abbia adottato schemi certificati e realizzati in conformità alla norma europea.
Difatti il GDPR prevede l’istituzione di meccanismi per la certificazione della protezione dei dati personali, allo scopo di dimostrare la conformità dei trattamenti effettuati dai titolari e dai responsabili del trattamento.
In base al Regolamento, l’adesione a un “meccanismo di certificazione” ai sensi dell’articolo 42, ha lo scopo di dimostrare la conformità alle prescrizioni europee dei trattamenti effettuati dai titolari e dai responsabili del trattamento.
Con particolare riferimento a quest’ultimo punto, la garanzia di qualità di servizio conforme viene fornita da schemi di certificazione internazionali come ADISA (acronimo di Asset Disposal & Information Security Alliance), ente di certificazione esterno per aziende che forniscono servizi di cancellazione delle risorse IT.
A seguito dell’approvazione ICO e UKAS, ADISA Standard 8.0 è ora uno schema di certificazione GDPR ufficiale del Regno Unito che fornisce ai clienti la certezza che il servizio di sanitizzazione è conforme alla normativa.