La corretta cancellazione dei dati personali

Il diritto all’oblio è uno dei principali diritti difesi dal regolamento europeo sulla protezione dei dati personali (vedi in particolare articolo 4, articolo 17, articolo 30 e articolo 70). Ciò significa che, una volta esaurita la finalità per la quale un dato personale è stato raccolto, esso deve essere cancellato o distrutto. Ad esempio, quando l’impianto di videosorveglianza viene utilizzato, in una banca, per finalità di sicurezza antirapina, è evidente che, se la rapina non si è materializzata nell’arco di 24 ore, non vi è motivo di mantenere una copia delle video registrazioni.

L’esperienza insegna come quest’operazione di cancellazione o distruzione spesso viene effettuata in maniera non appropriata. L’errore più frequente ed il più grave è evidentemente quello di “dimenticarsi” di cancellare i dati, quando non più necessari. Altre volte invece il dato viene cancellato con modalità tali da renderlo comunque recuperabile e venendo così meno all’obbligo del titolare del trattamento di effettuare quest’operazione in modo appropriato.

L’autorità Garante nazionale si era già in passato preoccupata di questo problema ed aveva pubblicato un prezioso documento, ancor oggi validissimo, nel quale venivano date indicazioni precise su come cancellare i dati, ad esempio presenti su supporti informatici, oppure distruggere i dati, se presenti su supporti cartacei. Questo documento, può essere considerato una preziosissima guida per tutti i titolari del trattamento, da consegnare ai propri responsabili e agli operatori autorizzati.

Un altro preziosissimo documento, che fin dal 2009 è stato elaborato dal comitato tecnico europeo TC 263, è la norma EN 15713, che fa riferimento alle linee guida per la distruzione sicura di materiale riservato.

L’elevato importo delle sanzioni, che possono essere applicate nel quadro del regolamento europeo, rende ancora più importante mettere a disposizione dei titolari del trattamento degli strumenti efficienti ed efficaci, in grado di dare ogni garanzia a tutti soggetti coinvolti che la distruzione di materiale sensibile sia stata portata a termine correttamente, prendendo in considerazione non solo il processo finale di frammentazione, ma anche quello di raccolta, trasporto e distruzione vera e propria.

La distruzione di un supporto cartaceo, o la cancellazione di un supporto informatico, effettuata in conformità a una vigente norma italiana, europea o internazionale, rappresenta garanzia di distruzione o cancellazione in conformità dello stato dell’arte. L’avere quindi messo a punto una procedura di cancellazione, conforme ad una vigente norma, esime da ogni ulteriore responsabilità tutti i soggetti coinvolti, in quanto è il codice civile che afferma come questo comportamento sia “perfetto”.