Il GDPR pone l’accento sulla cancellazione dei dati indipendentemente dalla loro circolazione pubblica, senza che la richiesta di cancellazione avanzata dalla persona abbia una motivazione.
L’art 17 del GDPR prevede che l’interessato (cioè la persona cui dati si riferiscono) possa chiedere al titolare del trattamento di tali dati la loro cancellazione e che quest’ultimo debba procedere a ciò senza ingiustificato ritardo.
Il rifiuto della cancellazione da parte del titolare del trattamento può essere giustificato quando:
- il trattamento sia necessario per l’esercizio del diritto alla libertà di espressione e di informazione;
- avvenga nell’adempimento di un obbligo giuridico previsto dal diritto dell’Unione o degli Stati membri;
- sia motivato dall’interesse pubblico nel settore della sanità pubblica, oppure abbia finalità di archiviazione nel pubblico interesse, di ricerca scientifica o storica o fini statistici;
- sia necessario per l’esercizio o la difesa di un diritto in sede giudiziaria.
Il titolare del trattamento provvederà in tali casi alla cancellazione «tenendo conto della tecnologia disponibile e dei costi di attuazione».
CANCELLAZIONE CERTIFICATA
La cancellazione sicura e certificata dei dati, come detto, è un obbligo di legge derivante dalle previsioni del GDPR. In particolare, afferisce all’art. 17 del Regolamento, ma non solo.
– L’art 4 del GDPR:
che include, nella definizione di trattamento dei dati, sia la cancellazione che la distruzione dei dati;
– L’art 5 del GDPR:
che specifica che i dati devono essere conservati soltanto per il periodo di tempo necessario a conseguire la finalità del trattamento in essere. Ne consegue che, terminato il congruo arco di tempo, i dati debbono essere cancellati;
– L’art 17 del GDPR:
che norma il diritto all’oblio. Vi si legge esplicitamente
“L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali”.
COME EFFETTUARE LA CANCELLAZIONE DEI DATI
La procedura cambia in base al tipo di supporto sul quale viene effettuata; nello specifico:
1) Hard Disk, Penne USB
Ai fini della cancellazione sicura dei dati contenuti in Hard Disk e Penne USB non è sufficiente la formattazione, bensì si rende necessario effettuare un processo di wiping che consenta la sovrascrittura casuale di una serie di bit sull’unità o, in casi estremi, bisogna procedere con la distruzione del supporto.
2) CD, DVD, Blu-ray
Ai fini della cancellazione sicura dei dati su CD, DVD, e Blu-ray non è sufficiente la formattazione, bensì si rende indispensabile avvalersi della tecnica del degaussing, ovvero la procedura di smagnetizzazione del supporto. In casi estremi, bisogna invece necessario procedere con la distruzione del supporto.
3) Dischi virtuali e Cloud
L’unico modo è richiedere al fornitore un certificato di eliminazione dei dati secondo procedure standardizzate ISO27001 e ISO27040. Esistono procedure integrate di wiping inserite nei firmware da parte del fornitore dello storage o applicativi avanzati per distruggere file e cartelle senza possibilità di recupero, così come software per cancellare intere LUN della SAN,
4) Archivi cartacei
Ai sensi del Regolamento (UE) 679/2006 è necessario dotarsi di un distruggi documenti, per poter eliminare in modo permanente i dati riportati nei documenti degli archivi cartacei.
Fonte Accademia Italiana Privacy
Se non ti senti sicuro di aver soddisfatto le richieste del Regolamento Europeo in merito alla protezione dei dati o semplicemente vorresti essere seguito con attenzione non esitare a contattarci.
La tua PRIVACY tocca tante sfere, noi siamo al tuo fianco per analizzare l’impatto sulla tua organizzazione e soddisfare i requisiti legislativi.
TI É PIACIUTA QUESTA NEWS?
ISCRIVITI ALLA NOSTRA NEWSLETTER E RESTA SEMPRE AGGIORNATO