Privacy: tutte le violazioni devono essere segnalate
Nel nuovo regolamento europeo sulla protezione dei dati, una loro violazione è un peccato gravissimo. Di Adalberto Biasiotti.
Mentre il precedente decreto legislativo italiano 196/2003 prevedeva la segnalazione all’autorità garante di una violazione o perdita dei dati, solo per particolari categorie di dati, il nuovo regolamento europeo non ammette eccezioni. Tutte le violazioni o perdite devono essere segnalate, a pena di gravi sanzioni. Esaminiamo in profondità un aspetto tecnologico, che molti sistemi informativi, contenenti dati personali, debbono affrontare.
Tutti sappiamo che una regola fondamentale, nel trattamento informatico dei dati, anche personali, è legata alla costante disponibilità di copie di backup. Tali copie possono essere chiamate in causa rapidamente, in caso di anomalie nel sistema informativo principale.
Per ragioni di spazio, molte di queste copie sono disponibili su nastri magnetici, o meglio su cassette, ad altissima capacità di archiviazione.
È del tutto normale che queste cassette, mano a mano che vengono utilizzate o che la loro necessità d’uso diminuisce, vengano immesse sul mercato dell’usato a prezzi competitivi. Ovviamente la condizione essenziale per questa operazione è che i dati siano stati precedentemente cancellati, e qui potrebbero nascere problemi non indifferenti.
L’operazione di cancellazione di una cassetta può richiedere molto tempo ed è possibile che il titolare del trattamento, che vuole seguire questo percorso di recupero, non abbia né il tempo né la voglia di provvedere ad una accurata cancellazione, prima che la cassetta venga immessa sul mercato dell’usato.
Per questa ragione le autorità governative degli Stati Uniti si sono preoccupate del fatto che preziosi dati personali, perfino afferenti alla difesa, potessero essere accessibile a soggetti non autorizzati, perché le cassette, su cui i dati erano riversati, non erano state cancellate con sufficiente accuratezza.
Ecco perché è stato affidato ad un gruppo di specialisti l’incarico di effettuare delle indagini a campione, per verificare se le regole vigenti in termini di cancellazione dei dati su supporti magnetici venivano rispettate da tutte le aziende governative e gli enti federali coinvolti.
Ma gli ispettori sono andati ancora più in là, perché non si sono accontentati di verificare se i dati erano stati cancellati, ma hanno anche verificato se le tecniche di cancellazione adottate era sufficientemente avanzate, da impedire, con artifizi vari, il recupero dei dati, che si presumevano cancellati.
A questo proposito, ricordiamo ai lettori che il NIST – national Institute of standards and technology ha pubblicato delle linee guida proprio mirate a dare precise indicazioni sulle modalità con cui devono essere cancellati in modo affidabile i supporti magnetici.
Usando questi riferimenti, gli ispettori si sono messi all’opera, acquistando sul libero mercato cassette e supporti magnetici provenienti da diverse agenzie governative e verificandone le condizioni.
Come noto, la prima operazione è quella di smagnetizzare il supporto, con una operazione chiamata “degaussing”. In alternativa, una altra tecnica di cancellazione si chiama “overwriting”, vale a dire sovrascrittura di dati esistenti con altri dati.
I test condotti dagli specialisti informatici non hanno consentito di recuperare dati, utilizzando apparecchiature di normale disponibilità in commercio, nonché apparecchiature diagnostiche specializzate, utilizzate anche in fase di analisi criminologiche di sistemi informativi.
Per la verità, qualche volta è stato possibile recuperare dei dati, ma essi erano alterati in modo tale da non essere praticamente utilizzabili e quindi il dettato circa la irrecuperabilità di dati, aventi un qualunque valore per l’utente, è stato rispettato.
Gli ispettori hanno tuttavia sottolineato il fatto che essi hanno utilizzato apparecchiature oggi correntemente disponibili, ma l’esperienza ha già insegnato, in passato, che con il passare del tempo vengono messi a disposizione strumenti sempre più efficienti ed efficaci, che potrebbero riuscire a “schiodare” anche dei nastri, che con le tecniche odierne risulterebbero del tutto cancellati.
Ecco la ragione per la quale gli ispettori hanno raccomandato di tenere sempre sotto pressione i responsabili informatici, in modo che le regole vigenti in tema di cancellazione dei dati siano sempre rispettate, ma hanno anche raccomandato di tenere sott’occhio la evoluzione tecnologica di questa famiglia di apparati, perché ciò che è difficile oggi, potrebbe diventare più facile tra non molto.
Nel frattempo, mi auguro che i lettori abbiano fatto buon uso di questa notizia, effettuando rapidamente una verifica sulle procedure che essi utilizzano per la cancellazione dei dati su supporti magnetici, prima di rimetterli sul mercato, onde evitare che il titolare del trattamento possa domani essere esposto a gravissime responsabilità, ove la cancellazione dei dati non sia avvenuta nel rispetto della regola d’arte.
Adalberto Biasiotti
Questo articolo è pubblicato sotto una Licenza Creative Commons.
Fonte: puntosicuro.it
No Comments
Comments are closed.