Il regolamento generale europeo impone di cancellare o distruggere i dati personali quando sono esaurite le finalità della raccolta ma spesso quest’operazione non è eseguita correttamente.
Il diritto all’oblio è uno dei principali diritti difesi dal regolamento europeo sulla protezione dei dati personali (vedi in particolare articolo 4, articolo 17, articolo 30 e articolo 70).
Ciò significa che, una volta che sia esaurita la finalità per la quale un dato personale è stato raccolto, esso deve essere cancellato o distrutto.
Per esempio quando i dati vengono raccolti per effettuare un'indagine di mercato, al termine dell’indagine i dati possono essere cancellati o resi anonimi, in quanto l’obiettivo della raccolta era quello di avere a disposizione elementi statistici afferenti al gradimento della clientela, ad esempio, piuttosto che non avere a disposizione il nome e cognome del soggetto interviste nato.
L’esperienza però insegna che questa operazione di cancellazione o distruzione spesso viene effettuata in maniera inappropriata. L’errore più frequente ed il più grave è evidentemente quello di “dimenticarsi” di cancellare i dati, quando non più necessari. Altre volte invece il dato viene cancellato con modalità tali da renderlo comunque recuperabile e venendo così meno all’obbligo del titolare del trattamento di effettuare quest’operazione in modo appropriato.
L’autorità Garante nazionale si era già in passato preoccupata di questo problema ed aveva pubblicato un prezioso documento, ancor oggi validissimo, nel quale venivano date indicazioni precise su come cancellare i dati, ad esempio presenti su supporti informatici, oppure distruggere i dati, se presenti su supporti cartacei.
Orbene, con la rapida evoluzione del mondo tecnologico, è del tutto normale che una norma elaborata nel 2009 possa avere bisogno di un aggiornamento ed ecco perché dal BSI è stata recentemente presentata una proposta formale di revisione di questo documento, basando questa richiesta su una serie di ottime motivazioni. Ad esempio, numerosi titolari del trattamento hanno fatto presente che oggi questa norma non riflette più l’arricchimento delle tipologie di archiviazione dei dati.
Ad esempio, potrebbe essere oggi opportuno utilizzare sistemi più raffinati di frammentazione dei supporti cartacei, in quanto sono già disponibili degli applicativi, che possono inquadrare ogni singolo frammento e successivamente ricostruire l’intero documento. Un ormai famoso esempio di applicazione di questi applicativi è legato alla ricostruzione degli affreschi della basilica di San Francesco, danneggiati dal terremoto. Ogni singolo frammento è stato inquadrato da uno scanner e un applicativo potentissimo è stato in grado di dare precise indicazioni su come assemblare le migliaia di frammenti.
L’elevato importo delle sanzioni, che possono essere applicate nel quadro del regolamento europeo, rende ancora più importante mettere a disposizione dei titolari del trattamento degli strumenti efficienti ed efficaci, in grado di dare ogni garanzia a tutti soggetti coinvolti che la distruzione di materiale sensibile sia stata portata a termine correttamente, prendendo in considerazione non solo il processo finale di frammentazione, ma anche quello di raccolta, trasporto e distruzione vera e propria.
Con l’occasione, ricordo a tutti i lettori che la distruzione di un supporto cartaceo, o la cancellazione di un supporto informatico, effettuata in conformità a una vigente norma italiana, europea o internazionale, rappresenta garanzia di distruzione o cancellazione in conformità dello stato dell’arte. L’avere quindi messo a punto una procedura di cancellazione, conforme ad una vigente norma, esime da ogni ulteriore responsabilità tutti i soggetti coinvolti, in quanto è il codice civile che afferma come questo comportamento sia “perfetto”.