da LASTAMPA.it  -  7 gennaio 2009
Garante: scuole cancellino dati sensibili nel cambio del pc
ROMA
Anche i dipendenti degli uffici della pubblica amministrazione dovranno imparare a sostituire i vecchi computer provvedendo prima a cancellare in maniera definitiva i dati sensibili riguardanti il personale in servizio e gli utenti: l’indicazione del Garante per la protezione dei dati personali, pubblicata nella Gazzetta Ufficiale n. 287 con il titolo «Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali», cita infatti anche le "aziende pubbliche".
In questa cerchia rientrano così tutti i pc delle amministrazioni dello Stato che mantengono nei propri archivi elettronici nomi, recapiti, e-mail, foto, numeri di conto bancario ed in generale i cosiddetti dati sensibili: ad iniziare dalla scuola, il più grande comparto della pubblica amministrazione che gestisce le informazioni private relative a circa 8 milioni di studenti (e relative famiglie) ed oltre 1 milione e 100 mila dipendenti (tra insegnanti e personale non docente).
Senza contare quelli che non sono più in servizio o che hanno abbandonato o terminato la scuola, i cui dati sono rimasti memorizzati negli hard disk dei computer delle segreterie. A questa enorme fetta di popolazione vanno poi aggiunti tutti gli altri 2 milioni e mezzo di dipendenti pubblici ed i rispettivi utenti. Ed anche in questo caso i numeri sono altisonanti: basti pensare ai ricoverati che si alternano nelle strutture ospedaliere statali.
Per evitare che tutte queste informazioni private possano venire in possesso di persone non autorizzate ad accedervi, il Garante ha chiesto ai datori di lavoro in procinto di cedere o dismettere le attrezzature informatiche di provvedere ad adottare preliminarmente particolari forme di smaltimento che contemplino la distruzione certa e definitiva di tutti questi dati.
Per farlo i responsabili degli uffici dovranno utilizzare software ad hoc che provvedono a scrivere, con una certa ripetitività ed esattamente nelle aree in precedenza occupate dalle informazioni eliminate, delle sequenze casuali di cifre binarie (zero e uno) in modo da ridurre al minimo le probabilità di recupero delle informazioni private.
Non basterà, quindi, provvedere ad una semplice cancellazione dei file presenti sull’hard disk: qualsiasi informatico con un minimo di esperienza sarebbe infatti in grado di risalire ai dati sensibili attraverso appositi programmi che permettono di svelare il contenuto delle zone precedentemente occupate.
Le modalità per operare sono indicate alle aziende dello stesso organo di garanzia: «il numero di ripetizioni del procedimento considerato sufficiente a raggiungere una ragionevole sicurezza - si legge nel provvedimento del Garante della privacy - varia da sette a trentacinque e incide proporzionalmente sui tempi di applicazione delle procedure, che su dischi rigidi ad alta capacità (oltre i 100 gigabyte) possono impiegare diverse ore o alcuni giorni), a secondo della velocità del computer utilizzato».
Nel provvedimento l’organo che tutela la privacy indica però anche un’altra strada: quella di demagnetizzare i dispositivi. In tal caso, però, gli hard disk e tutti gli altri supporti per archiviare i dati (come i floppy, i cd-rom e le sempre più utilizzate «chiavi» di memoria di tipo Usb) non sarebbero più utilizzabili.
Il tutto dovrà essere affidato a «a terzi tecnicamente qualificati». A meno che non si proceda, conclude il Garante, alla «distruzione fisica o disintegrazione» dei dispositivi informatici: la vie più drastica per evitare spiacevoli sorprese ad opera degli hacker.