Quando si buttano i rifiuti, non bisogna trascurare la data protection. Nei nostri sacchi finiscono anche i nostri dati: si pensi a lettere gettate che riportano nomi, cognomi, indirizzi, oppure a ricette mediche che suggeriscono il nostro stato di salute. Ecco qualche accorgimento per i privati e i consigli per le aziende.
Indice degli argomenti
Il contesto
Da sempre rovistare nella spazzatura dei soggetti sospetti rappresenta uno dei sistemi investigativi più utilizzati dalle polizie e dai servizi segreti di tutto il mondo. Dai film americani dove FBI e CIA fanno sfilare su nastri trasportatori chilometri di spazzatura alla ricerca di un indizio o di una prova, fino ad arrivare alla nostra Polizia che rintraccia il covo di un boss mafioso latitante, indagando sui rifiuti prodotti. Ricordate il film “Argo”, interpretato da Ben Affleck? Ricostruzione storica dell’operazione organizzata da Stati Uniti e Canada nel 1979 per risolvere la cosiddetta “crisi degli ostaggi” che ebbe inizio il 4 novembre a Teheran, dopo la rivoluzione islamica guidata dall’ayatollah Khomeini per evacuare alcuni cittadini americani dall’Iran.
In una scena il personale dell’ambasciata “passa” tutta la documentazione cartacea con una macchina distruggi documenti e abbandona i rifiuti all’esterno. I servizi segreti iraniani raccolgono i rifiuti, li portano in un capannone e mettono dei bambini a riscostruire i documenti tritati ed è così che ricostruiscono i documenti di identità dei fuggitivi. Ai tempi odierni, non servono neanche più i bambini, basta utilizzare dei software che partendo dalle “strisce” scannerizzate e mediante un algoritmo sono in grado di ricostruire la documentazione. Da questo si può intuire come la “monnezza” sia ricca di dati personali di tutti i tipi che possono essere dati in pasto (e quindi diffusi) a chiunque, senza controllo.
La privacy nella spazzatura privata
Senza disturbare terroristi e servizi segreti, nella comune spazzatura possiamo trovare i nostri dati identificativi nome, indirizzo, mail, telefono, dati relativi al nostro stato di salute, ricette mediche, impegnative, bugiardini dei farmaci, confezioni di farmaci, ma anche dati relativi alle nostre capacità economiche come ad esempio buste paga, documenti contabili bancari ed altro, potremmo anche gettare appunti con numeri di telefono e indirizzi relativi a nostri amici e conoscenti, ma anche altre delicatissime informazioni che potrebbero violare il nostro diritto alla riservatezza e finire in mano a malintenzionati.
Il tutto è stato amplificato dal diffondersi dei sistemi di raccolta differenziati che comportano che il nostro sacchetto con la carta viene depositato fuori dalla porta in orari e giorni prestabiliti, in alcuni casi il sacchetto è trasparente e in altri ancora non è un sacchetto, ma una scatola aperta nella quale i nostri documenti prendono il volo per destinazioni ignote al primo soffio di vento, rendendo noto a tutto il vicinato il nostro deposito bancario o l’ultima visita a cui ci siamo sottoposti.
A tutto questo bisogna porre un limite prima di tutto utilizzando il buon senso ed evitando, ad esempio, che la nostra documentazione cartacea venga gettata integra e leggibile nella spazzatura o che le nostre apparecchiature informatiche (dischi fissi, schede di memoria, tablet e smartphone ecc.) vengano smaltite senza formattazione o distruzione fisica e quindi contenenti rubriche telefoniche, fotografie (magari dei nostri figli minorenni o che ci ritraggono in situazioni “imbarazzanti”), ed altre informazioni personali. Ma anche Il Garante Privacy con le indicazioni sulla raccolta differenziata dei rifiuti del 14 Luglio 2005 dispone che:
- non possano essere utilizzati sacchetti trasparenti al fine di evidenziare la non corretta differenziazione, ma che mostrano a tutti i nostri consumi;
- non possano essere applicate ai contenitori delle etichette adesive riportanti il nominativo dell’utente;
- si pongano dei limiti all’attività ispettiva finalizzata a rintracciare il produttore che avesse abbandonato i rifiuti in maniere difformi dai regolamenti; vengono impedite quindi ispezioni generalizzate, ma esclusivamente mirate ad uno specifico sospetto.
Privacy e rifiuti nelle aziende
Nell’esperienza di consulenza, mi sono accorto che il risvolto privacy-spazzatura è spesso un elemento scarsamente considerato all’interno dell’azienda e quando con la mia check-list devo valutare le misure applicate, vado ad infilare una mano nella spazzatura cartacea depositata all’esterno di strutture sanitarie, studi di commercialisti, studi legali, consulenti del lavoro, pubbliche amministrazioni, ecc …… ed il risultato, per quantità di dati pescati, è sempre sorprendente!
Solo così i miei interlocutori cominciano a comprendere la serietà del problema sollevato. Da curioso quando entro in uno studio legale o tributario, mi piace osservare i faldoni in bella vista intitolati al cliente di turno o i fascicoli conservati in bella vista sulla scrivania del Professionista, mi è capitato ancora di vedere documentazione relativa a soggetti sovraindebitati al quale il consulente stava lavorando nella funzione di O.C.C. (Organismo per la composizione della crisi). E si sa in una città piccola ci si conosce tutti. E allora perché non accogliere gli “ospiti” in una sala dedicata e non all’interno degli uffici o, in alternativa, preoccuparsi di non lasciare documentazione in bella vista e/o pseudonomizzare i faldoni con codici gestionali o altro?
Ricordo che l’art. 32 del GDPR non si riferisce esclusivamente alle misure di sicurezza da applicare al dato digitale, ma anche ai dati in formato “analogico”. Si comprende che nelle aziende vale quanto detto per la spazzatura privata, infatti si corre il rischio di diffondere dati relativi ai nostri clienti, fornitori, prospect, dipendenti, candidati (documentazione cartacea gettata dall’ufficio personale o altro) e in più si aggiunge tutta la documentazione relativa all’attività dell’azienda, magari non rilevante ai fini della normativa privacy, ma da evitare che finisca nelle mani della concorrenza perchè in grado di rivelare “segreti industriali” o il know how aziendale. Mi è anche capitato di ricevere spedizioni da aziende clienti o fornitrici dove la documentazione appallottolata veniva utilizzata al posto del materiale apposito per imballaggio per riempire il pacco. Vi garantisco che era possibile leggere di tutto: fatture, ordini.
La pulizia dei locali aziendali
Altro aspetto fondamentale da considerare è quello relativo alle pulizie all’interno dei locali. Spesso, infatti, vengono fatte in orario non lavorativo e di conseguenza gli addetti dell’impresa di pulizia hanno un libero accesso alla documentazione nel caso in cui non sia correttamente custodita; spesso nelle aziende le persone più “informate” sono gli addetti alle pulizie, proprio perchè hanno accesso a documenti colpevolmente lasciati sulle scrivanie della Direzione e dati poi in pasto al “corridoio”.
Consiglio sempre di stipulare delle clausole contrattuali ben precise, che prevedano:
- di farsi fornire in forma scritta dall’impresa di pulizie l’elenco di tutti i dipendenti che opereranno, in modo da poter identificare ogni soggetto che accede ai locali;
- pretendere che vengano comunicate le variazioni di personale, in caso di assenza per malattia o altro;
- istruzioni ben precise sullo smaltimento dei rifiuti (soprattutto cartacei) all’esterno dell’azienda;
- pretendere che sia erogata idonea formazione al personale sul come comportarsi e sulle possibili conseguenze in caso di condotta scorretta.
Spesso tutto questo non viene considerato nei contratti “standard”, ma consiglio invece di inserire queste clausole per poter responsabilizzare l’impresa di pulizie e per potersi tutelare in caso di gravi violazioni.
Le macchine distruggi documenti
Perfino l’acquisto delle macchine distruggi documenti non è così banale, infatti esiste una norma, la DIN 66399, che identifica ben 7 classi di sicurezza differenti in relazione alla “confidenzialità” dei documenti da distruggere: si passa dalla classe 1 per documenti non contenenti informazioni particolarmente delicate che prevede una larghezza massima delle strisce di 12 mm, per arrivare alla classe 7, per documenti da mantenere rigorosamente segreti, che prevede una larghezza massima di 1 mm (chiaramente con queste dimensioni anche il miglior algoritmo non riuscirebbe a ricostruire l’originale).
Smaltimento degli strumenti informatici
Esiste poi il problema dello smaltimento dei dispositivi informatici a fine vita. Provate ad andare in un centro di raccolta al Sabato mattina e troverete persone che rovistano tra le “spazzature informatiche” alla ricerca di pezzi di ricambio o comunque di qualsiasi cosa che sia riutilizzabile. Se abbandoniamo i nostri PC, notebook, tablet, smartphone, chiavette USB, schede di memoria, ecc ci dimentichiamo spesso di chiederci cosa è conservato nelle memorie?
Le categorie di professionisti più a digiuno di coscienza informatica quali medici e avvocati, rispondono frequentemente che la macchina essendo rotta è inservibile e di conseguenza i dati irrecuperabili; si dimenticano che le memorie se non cifrate possono essere accessibili da un qualsiasi altro dispositivo e anche se formattate a “basso livello”, i dati possono essere recuperati medianti appositi software di recovery. Ai piccoli studi, con orrore di alcuni miei colleghi, consiglio la pratica estrazione del disco accompagnata dalla sicura martellata, prima dello smaltimento nei centri di raccolta. Alle realtà più complesse è consigliabile istituire delle procedure di smaltimento sia per la documentazione cartacea che per quella elettronica affidandosi a ditte specializzate che rilasciano certificazioni di avvenuta distruzione con modalità controllate, sicure e definitive.
Attenzione alle aziende che rivendono PC, smartphone dismessi ai propri dipendenti e con la convinzione che rimane tutto in casa sorvolano sulla formattazione dei dispositivi, così come chi si affida a servizi di noleggio a lungo termine che trascorso il periodo prevedono la sostituzione dei vecchi dispositivi con modelli più recenti da parte della ditta che eroga il servizio, fondamentale rimane la previsione contrattuale di una cancellazione certificata e documentata delle memorie prima della sostituzione.
Conclusione
Consiglio quindi ai Titolari del trattamento di conformare anche la spazzatura aziendale a cominciare dagli aspetti “analogici” e spesso dimenticati, prima di affrontare i più complessi temi relativi alla sicurezza della struttura informatica e delle reti.
