Come dismettere in sicurezza vecchi pc o telefoni rispettando la normativa GDPR e l’ambiente, a chi rivolgersi e quanto tempo occorre
Nell’era digitale in cui viviamo, la sostituzione dei dispositivi informatici come computer e telefoni è una pratica comune. Tuttavia, molte persone spesso trascurano il processo di dismissione di questi dispositivi, mettendo a rischio la privacy dei dati sensibili e l’ambiente. Per garantire una corretta dismissione dei vecchi dispositivi, rispettando la normativa GDPR (per le aziende) e contribuendo alla sostenibilità ambientale, è essenziale seguire una serie di passaggi chiave rivolgendosi ad aziende specializzate.
In questo articolo, esploreremo come farlo in modo sicuro ed efficiente.
La Normativa GDPR e l’importanza della dismissione sicura
Il GDPR (Regolamento Generale sulla Protezione dei Dati) è un elemento fondamentale da tenere in considerazione quando si tratta di dismettere dispositivi che contengono dati personali.
Il GDPR impone rigide regole sulla protezione dei dati, compresa la loro distruzione sicura. Ignorare questo regolamento, per le aziende, può portare a sanzioni significative, quindi è cruciale la conformità normativa. La dismissione sicura non solo impedisce violazioni in ambito privacy, ma contribuisce anche alla reputazione e all’affidabilità delle aziende in ottica ESG.
Dismissione sicura dei dispositivi elettronici: quando il backup non basta
Spesso, durante la fase di dismissione degli asset IT, le aziende dedicano particolare attenzione alla protezione dei dati. Questo aspetto è cruciale sia per i dispositivi in leasing che per quelli di proprietà aziendale, specialmente quando giunge il momento di sostituirli.
Sebbene non più utilizzati, questi dispositivi conservano enormi quantità di informazioni personali ed aziendali che richiedono un’ eliminazione sicura dei dati, soprattutto se l’intenzione è quella di rigenerarli, reimmetterli sul mercato o donarli.
In questo ambito, la cancellazione ed eliminazione definitiva dei dati assume un ruolo fondamentale in termini di sicurezza e privacy. Generalmente, la responsabilità di questa delicata operazione ricade sul reparto IT, risk management ed internal audit, che definiscono e verificano le misure necessarie da adottare e tutti i profili di sicurezza per prevenire la diffusione non autorizzata o perdita di dati personali ed aziendali.
Cancellazione definitiva dei dati e NON formattazione
È importante comprendere che la cancellazione definitiva dei dati non può essere ottenuta semplicemente attraverso la formattazione.
La formattazione o il deleting del disco rappresenta una soluzione molto usata nel mondo IT, ma estremamente insicura in quanto i dati possono essere facilmente recuperati anche da tecniche non particolarmente sofisticate e da laboratorio. In caso di settori nascosti o rimappati, la formattazione non fornisce nessuna certezza dell’avvenuta cancellazione o sovrascrittura del disco, essendo un comando all’interno del PC e non all’esterno.
Come per le altre tecniche fai da te, non esistono reportizzazioni dell’avvenuta cancellazione ai fini di conformità normativa.
Cancellazione certificata dei dati
Quando si tratta di assicurarsi che i dati presenti nei dispositivi siano definitivamente eliminati, è fondamentale considerare l’opzione della cancellazione certificata dei dati. Benché esistano software gratuiti per la cancellazione dei dati, questa soluzione economica potrebbe risultare inefficace, specialmente se gestita da personale non qualificato e pericolosa per introduzione diretta o indiretta di malware.
In merito alla eliminazione del dato, diverse autorità e schemi certificativi hanno definito approcci validi per garantire l’eliminazione del dato riassumibili in tre tecniche principali :
- Data Erasure Software (Cancellazione tramite sovrascrittura): l’uso di software specializzati per la cancellazione dei dati è un metodo affidabile per eliminare le informazioni presenti sui dispositivi integri e funzionanti. Questi programmi sovrascrivono i dati esistenti con modalità tramite algoritmi internazionali, rilevano settori nascosti e rimappati presenti nei supporti, reportizzano tutte le attività ai fini di accountability e due diligence richiesti dal GDPR, garantendo così la loro cancellazione definitiva e conformità normativa.
- Demagnetizzazione dell’hard disk tramite degaussing: questo metodo elimina i dati tramite potenti campi magnetici presenti in dispositivi speciali noti come degausser. Questo processo elimina i dati permanentemente rendendo così impossibile il loro recupero ed il riutilizzo dell’hard disk stesso.
- Distruzione fisica dell’hard disk: nel caso in cui si desideri una garanzia assoluta sulla eliminazione dei dati, la distruzione fisica del disco è il metodo più sicuro. Questo implica la completa triturazione in piccole particelle come coriandoli del dispositivo, rendendo inutilizzabile il supporto ed irrecuperabile il dato presente.
La scelta tra questi metodi dipende dalle esigenze specifiche e dal livello di sicurezza richiesto. In ogni caso, affidarsi ad aziende professioniste certificate è una pratica prudente e saggia nonché conforme alla norma per proteggere la privacy e la sicurezza delle informazioni.
Dopo aver eliminato definitivamente i dati l’azienda può decidere se tenere e riutilizzare i dispositivi o se dismetterli secondo la normativa per il corretto smaltimento dei RAEE (rifiuti di apparecchiature elettriche e elettroniche)
A chi rivolgersi
Per garantire una eliminazione sicura dei dati prima e una dismissione sicura e rispettosa dell’ambiente, è consigliabile rivolgersi ad aziende specializzate e certificate nel recupero dati o servizi di distruzione sicura dei dispositivi. Queste aziende hanno l’esperienza e le risorse necessarie per garantire che i dati siano cancellati in modo sicuro e che i dispositivi siano avviati al riutilizzo o recupero in modo ecocompatibile.
Affidarsi a service provider specializzati permette di essere inoltre conformi alla normativa vigente.
Ad esempio tutte le attività di dismissione dovrebbero essere incardinate in schemi certificativi approvati da autorità garanti tipo Adisa 8.0 che in UK è riconosciuto dall’ICO (omologo del Garante della Privacy Italiano) permettendo così all’azienda di dimostrare la conformità normativa.
Inoltre, aziende specializzate nell’eliminazione del dato e gestione dell’asset dismesso spesso offrono un servizio chiavi in mano al cliente, permettendogli un risparmio di tempo, sforzi e utilizzo del leverage tecnologico del fornitore.
L’azienda DataWipe ad esempio utilizza metodi certificati di eliminazione dati e gestione degli asset IT dismessi dalle aziende per garantire la massima sicurezza dei dati e dell’ambiente, adottando applicativi software di cancellazione e procedure operative certificate per garantire che gli stessi siano completamente irrecuperabili, anche da terze parti non autorizzate.
Per quanto riguarda le tempistiche, la dismissione dipende da diversi fattori, tra cui la quantità di dati da cancellare e il metodo di sanitizzazione utilizzato, anche se solitamente è possibile completare l’operazione in poche ore.
Inoltre offre un servizio di ritiro a domicilio per i dispositivi di piccole e grandi dimensioni e recupera i materiali riciclabili dai dispositivi, contribuendo alla tutela dell’ambiente e fornendo report dettagliati per l’elaborazione di bilanci di sostenibilità ESG.
DataWipe è un’azienda certificata ADISA 8.0, ISO 27001, ISO 9001, ISO 14001, UNIEN 15713 ed è in grado di offrire un servizio sicuro, completo, conveniente ed ecosostenibile in tutta Italia isole comprese.