DATA BREACH, GDPR E PRIVACY: PERCHÉ LA TUA AZIENDA È OBBLIGATA A DISTRUGGERE DOCUMENTI, ARCHIVI, HARD DISK E SUPPORTI DIGITALI CHE CONTENGONO DATI RISERVATI. COSA DICE IL GDPR E COSA RISCHI: UNA GUIDA PER CAPIRNE DI PIÙ

In tutte le aziende, grandi o piccole, arriva il momento in cui liberarsi di un archivio pieno di vecchi faldoni, smaltire qualche computer ormai vecchio o assegnare il telefono aziendale ad una nuova persona. Cosa hanno in comune tutte queste situazioni? Faldoni, hard disk e smartphone sono pieni di dati sensibili di dipendenti, consumatori, collaboratori e clienti e anche di informazioni strategiche per l’azienda.

Cosa succede se il supporto non è distrutto correttamente e i dati vengono smarriti? Cosa prevede il GDPR in questo caso? Vediamo tre domande che un’azienda dovrebbe porsi in relazione ai dati riservati contenuti in archivi di carta e digitali. Per essere conforme al GDPR ed evitare altri guai!

La prima domanda: c’è una legge che mi obbliga a distruggere i dati riservati che conservo nei miei archivi di carta e nei miei computer. La risposta è Sì.

La seconda: come faccio a liberarmi di questi dati senza rischiare conseguenze? La risposta è: adottando misure di sicurezza adeguate durante il processo di distruzione e/o smaltimento di archivi, hard disk e altri supporti. Quindi, no, non puoi affidarti alla ditta delle pulizie o a uno svuota – cantine).

La terza: se smarrisco (volontariamente o meno) i dati personali e questi sono recuperati integri da terzi (data breach) devo aspettarmi delle sanzioni? La risposta è Sì, le sanzioni sono pesanti e anche la reputazione rischia di andare in pezzi.

Queste domande possono sembrare superflue nella già complicata vita burocratica delle aziende italiane, ma dopo aver letto le conseguenze di un eventuale smarrimento o diffusione anche accidentale di dati riservati, siamo certi che avrai cambiato idea.

Alcune cose da sapere per comprendere meglio perché devi distruggere i dati riservati in modo sicuro e certificato.

Prima di tutto, cerchiamo di capire insieme cosa sono i dati personali.

Secondo la definizione del GDPR e del Garante della Privacy italiano sono:

i dati che permettono l’identificazione diretta – come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc. – e i dati che permettono l’identificazione indiretta, come un numero di identificazione (ad esempio, il codice fiscale, l’indirizzo IP, il numero di targa);

i dati rientranti in particolari categorie: si tratta dei dati c.d. “sensibili”, cioè quelli che rivelano l’origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, relativi alla salute o alla vita sessuale. Il Regolamento (UE) 2016/679 (articolo 9) ha incluso nella nozione anche i dati genetici, i dati biometrici e quelli relativi all’orientamento sessuale;

i dati relativi a condanne penali e reati: si tratta dei dati c.d. “giudiziari”, cioè quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale

Cosa è una violazione dei dati personali (data breach)?

Sempre secondo le definizione del Regolamento, un data breach è una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali. (non per forza un databreach)

Alcuni esempi forniti dal Garante:

  1. l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
  2. il furto o la perdita di dispositivi informatici contenenti dati personali;
  3. la deliberata alterazione di dati personali;
  4. l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
  5. la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
  6. la divulgazione non autorizzata dei dati personali.
  7. documentazione cartacea integra inserita in contenitori aperti privi di serratura posizionati anche all’interno di perimetri aziendali.

Un data breach può avvenire in qualsiasi momento della vita di un’organizzazione. Il momento della distruzione di un archivio cartaceo o dello smaltimento di un supporto digitale però è particolarmente pericoloso.

Quando hard disk, smartphone o faldoni di archivio lasciano l’azienda, quello è il momento in cui una perdita di dati o violazione diventa più probabile ed è per questo motivo che vengono richieste ed imposte idonee misure al fine di mitigare o eliminare il possibile smarrimento.

Le fonti di legge che obbligano le aziende a distruggere i dati riservati in modo sicuro

Siamo arrivati al punto in cui cerchiamo di capire cosa obbliga un’azienda a evitare lo svuota-cantine e affidarsi a un’azienda specializzata nella distruzione di dati riservati.

Il riferimento principale in materia è il Regolamento Europeo del 2016 (GDPR) approvato in Italia nel 2018. Ecco gli articoli principali che ci permettono di capire in modo semplice ma completo perché è necessario distruggere i dati riservati in modo sicuro, irrecuperabile e certificato.

Come vedremo in seguito i capisaldi del regolamento declinati o afferenti per la distruzione e cancellazione sono:

  1. Cos’è il Trattamento;
  2. Chi è il Titolare che responsabilità ha in merito alla distruzione;
  3. Chi è responsabile e che responsabilità ha?;
  4. Le misure idonee di sicurezza da adottare;
  5. Gli Schemi certificativi sulla distruzione che dimostrano il corretto trattamento.

Cos’è un trattamento dei dati personali?

L’Art. 4, paragrafo 2  definisce cosa rientra nel “trattamento” :

“…qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”;

La distruzione di un archivio cartaceo o di hard disk rientrano in tale definizione che come vedremo più avanti impone al titolare obblighi di nomina scritta di responsabili interni od esterni. Senza questa nomina non si è conformi alla normativa.

Chi è il Titolare del trattamento e che responsabilità ha?

Art 4, paragrafo 7: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali;

Art.5, paragrafo 1, lettera e)

«I dati sono […] conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati […]».

La conseguenza di questo articolo è che il titolare del trattamento deve provvedere alla cancellazione/distruzione dei dati raccolti tramite consenso informato una volta raggiunto lo scopo del trattamento stesso. Non può conservarli per periodi ulteriori se non in casi eccezionali di pubblico interesse. Oltre questo periodo la cancellazione/distruzione è di regola obbligatoria e deve essere fatta evitando un data breach di dati personali.

Art 5, paragrafo 2: Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»).

Articolo 24 Responsabilità del titolare del trattamento

“Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”.

Aspetto importante  è la dimostrazione a terzi di due cose: 1) dell’adozione di misure di sicurezza che vedremo in seguito e 2) della conformità del trattamento

Quest’ultimo punto impone al titolare la responsabilità del dimostrare non solo formalmente ma soprattutto sostanzialmente l’adozione di  processo di distruzione, e non di una singola fase, sia conforme e sicuro. Per avere una maggiore credibilità e soprattutto una validazione esterna ed indipendente che può essere fornita come vedremo da schemi certificativi specifici (vedi paragrafo sulle certificazioni)

Tra le responsabilità rientra anche la nomina del responsabile del trattamento seguendo specifiche indicazioni soprattutto di sicurezza come riportato più avanti.

L’adesione ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione di cui all’articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.

Art. 13, comma 2, lettera a)

[…] nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato […]

  1. a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

Chi ci fornisce dei dati deve sapere in anticipo per quanti anni saranno conservati. Il periodo può essere fissato per legge (per esempio i 10 anni per le fatture) oppure può essere fissato dall’azienda ma deve chiarire perché. Anche in questo caso, oltre questo periodo la distruzione sicura è obbligatoria.

In questo punto si definisce la catena delle responsabilità. Dato che il Titolare richiede il consenso e che deve scegliere accuratamente responsabili del trattamento, in caso di data breach o violazioni verrà chiamato a risponderne in primis per poi rifarsi eventualmente sui responsabili qualora ritenuti responsabili. Come si può desumere è una cosa seria e gravosa.

Visti il trattamento e titolare passiamo ora a vedere chi è il responsabile del trattamento e che responsabilità ha.

Chi è il responsabile del trattamento e che responsabilità ha?

Art 4, paragrafo 8 «responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

Art 28  Responsabile del trattamento (C81)

Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

In questo punto viene evidenziato il profilo di sicurezza del responsabile del trattamento. Da cosa è costituito? Fondamentalmente dalla sua capacità di sanitizzare il dato con sistemi idonei e specifici e non generici. Ad esempio sul mercato esistono varie tipologie di trituratori corredati da varie tipologie di lame che determinano la dimensione del triturato. Più sono sottili queste lame contrapposte più è alto il livello di sicurezza e dimensione del coriandolo. Nello scenario attuale molte realtà dicono di distruggere documenti ma sono pochissimi che effettivamente hanno sistemi di distruzione che garantiscono ciò. Come può un titolare del trattamento verificare questo? Ha le competenze per effettuare tale indagine? Dato che è sua responsabilità non solo verificare formalmente la dichiarazione del responsabile ma soprattutto verificarne la capacità di attuare misure di sicurezza, cosa lo aiuterà? Le certificazioni specifiche come la UNI CEI21964 e UNIEN 15713 di cui parleremo dopo.

Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche…

c) adotti tutte le misure richieste ai sensi dell’articolo 32;

Capita spesso che l’attività di distruzione venga demandata a terzi che non hanno autorizzazioni di legge, certificazioni specifiche ma soprattutto mezzi e risorse per sanitizzare il dato, tipo le imprese di pulizie o traslochi. Immaginiamo un titolare che sta effettuando uno spostamento di uffici e vengano fuori documenti a distruggere. Chiede alla società di traslochi di distruggerli senza verificare la capacità sue e di dove verranno portati sperando che non sia la discarica. Tale procedimento per essere conformi ed evitare salate sanzioni deve essere formalizzato per iscritto in modo tale tutti i responsabili e sub responsabili siano informati e osservino le indicazioni del titolare. Tale attività di nomina sono le prime cose viste dall’autorità garante ed ispettiva.

I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento

Paragrafo 4

Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.

Molto spesso accade che il materiale da distruggere venga preso come rifiuto omettendo l’atto di nomina del responsabile.

Se da un’ottica ambientale TUA è corretto sotto l’aspetto GDPR no. Perché? Il processo di distruzione ricordati che è un trattamento dei dati e non di rifiuti. Talaltro prendere i tuoi documento colo con il FIR fa si trasferisci il supporto cartaceo al centro di recupero ma non i dati di cui resti responsabile. Se pil centro di recupero decide di processare i tuoi supporti tra un mese o 6 mesi lasciandoli in banchina, tu non potrai fare nulla. La documentazione cartacea l’hai ceduta con tutti i dati. Ricordati che una violazione può avvenire anche in un arco temporale indeterminato ed indefinito che i dati non sono distrutti correttamente

Paragrafo 5. L’adesione da parte del responsabile del trattamento a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo.

l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.

Hai avuto modo di verificare la certificazioni dei tuoi responsabili del trattamento distruttivo? Sì hanno la 9000, la 14001 etc. quindi stimato a posto. Mi spiace darti una brutta notizia ma tale certificazioni sono legate ai sistemi di gestione di qualità aziendale ed ambiente e non sono specifiche per tale trattamento. Anche le società conservaturiere lo sono ma non per questo adottano un processo certificato di distruzione

Art 17, comma 1, lettera a)

Questo articolo riguarda il Diritto alla cancellazione («diritto all’oblio») (C65, C66)

  1. L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:

  1. a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;

  2. b) l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento.

Quindi, anche se prima della scadenza naturale l’interessato può chiedere la cancellazione definitiva dei dati riservati.

Essendo la cancellazione/distruzione un trattamento dei dati a tutti gli effetti di legge, dev’essere svolta nel rispetto del principio di accountability. Di conseguenza è un’attività sotto la responsabilità del Titolare del trattamento, il quale, per evitare danni e sanzioni, dovrà inevitabilmente rivolgersi ad un provider esterno che deve fornire adeguate garanzie del corretto trattamento.

Sotto questo punto di vista sarà inevitabile rivolgersi ad un fornitore certificato e che accetti ad essere designato quale responsabile esterno ex art. 28 GDPR, meglio ancora se in grado di certificare l’avvenuta cancellazione/distruzione. Questo passaggio è inevitabile tenuto conto degli obblighi di prova stabiliti dalla legge e, normalmente, anche dai contratti dei più importanti players.

Articolo 33 Notifica di una violazione dei dati personali all’autorità di controllo (C85, C87, C88) 1.

In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo. 2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.

Come indicato al punto precedente, se i documenti sono ritirati come rifiuti, nel caso di una violazione il responsabile non sarà tenuto ad informare entro le 72 ore.

Articolo 40 Codici di condotta (C98, C99, C167-C168)

Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese.

Art. 32, Misure di sicurezza

… il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio…

Perché non posso affidarmi a un’azienda di macero o a un’impresa di pulizie?

L’art. 5, par. 1, lett. f), stabilisce che i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)”.

L’affidamento a un’impresa di pulizie, lo smaltimento in discarica o nei contenitori della carta non soddisfa il criterio delle misure tecniche organizzative adeguate. In caso di smarrimento dei dati personali, il titolare e il responsabile del trattamento sarebbero considerati non conformi al GDPR con la certezza delle sanzioni che indichiamo di seguito.

Documenti distrutti da Distruzione Documenti e irrecuperabili

Sanzioni previste dal GDPR in caso di data breach: fino a 20 milioni di euro!

Nel caso in cui le organizzazioni (pubbliche amministrazioni, imprese) non rispettino gli obblighi previsti dal GDPR in materia di Data Breach, il Regolamento prevede sanzioni pecuniarie fino a 10.000.000 euro o al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore (primo scaglione), ovvero fino a 20.000.000 euro o al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore (secondo scaglione).

Secondo il Garante, le violazioni più gravi sono quelle che “possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali. Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale”.

In particolare, il Garante ha più volte sanzionato i Titolari del trattamento che, essendosi affidati ad un provider “di fortuna”, hanno visto i loro documenti e i loro hard disk abbandonati nei luoghi più disparati.

Il principio della Responsabilità: è sempre colpa tua, fino a prova contraria

Rispetto al precedente Codice della Privacy, il GDPR ha previsto il principio di accountability. Il titolare del trattamento dei dati deve essere in grado di dimostrare in maniera circostanziata alle autorità competenti, da un lato, e ai proprietari dei dati, dall’altro, di aver fatto tutto il possibile per proteggere i dati

E tutto questo dal momento dell’acquisizione del dato fino alla fine del ciclo vita dello stesso, quando, cessato il periodo di conservazione, il dato deve essere cancellato e/o distrutto.

Quando i dati escono dall’azienda sono esposti a potenziali e pericolosi data breach

Dai data breach e dalle conseguenti sanzioni e responsabilità ci si può tutelare distruggendo documenti, archivi e supporti informatici con delle procedure sicure e irrimediabili prima che lascino l’azienda, direttamente in sede. Per esempio, triturando un archivio, smagnetizzando un hard disk distruggendo gli smartphone che contengono i dati riservati direttamente sul posto e sotto il diretto controllo del Responsabile del Trattamento.

Oppure assicurandosi che l’azienda che raccoglie questi supporti li trasporti in modo sicuro in uno stabilimento di distruzione che rispetti precisi standard di sicurezza. Per completare le procedure di sicurezza, è bene assicurarsi che l’azienda di distruzione si assuma l’incarico di Responsabile e si accolli eventuali responsabilità dello smarrimento.

Le certificazioni che riguardano la distruzione dei dati riservati

La distruzione sicura e certificata è diventata così stringente che ha portato alla nascita di alcune certificazioni di qualità del processo di distruzione come la norma italiana ISO/IEC 21964-3 e la norma europea UNI EN15713:2023.

Entrambe le norme mirano a regolamentare non la singola fase ma l’intero processo di distruzione effettuato sia conto proprio o per conto di altri.

Le norme in merito alla distruzione dei dati vengono intese come un processo dove ogni fase deve essere esaminata e progettata per essere sicura come punto di raccolta, il trasporto, la distruzione in base a 7 livelli dimensionali e 3 di sicurezza nonché l’avvio al recupero o smaltimento di quanto distrutto.

Se decidi di esternalizzare tale servizio, un service provider certificato UNI 21964 e 15713 ti permetterà di dimostrare la tua accountability e dovuta diligenza alle autorità garanti o ispettive

Purtroppo, il 95% dei centri di recupero in Italia effettua solo operazioni di compattazione dei documenti scartati con avvio al macero lasciando integri i documenti. Quindi, spesso un’azienda è convinta di aver distrutto irrimediabilmente le informazioni presenti in faldoni e documenti mentre finiscono in trituratori non adatti lasciano i dati riservati perfettamente leggibili.

La certificazione 21964 di Distruzione Documenti Srl

Se il materiale non è distrutto come si deve, sei sempre tu il responsabile

Cosa significa per te? Nonostante vengano rilasciati certificati di distruzione il materiale scartato essendo ancora integro contiene tutti i dati per i quali ci sia aspetta dopo il trattamento distruttivo la totale inintelligibilità.

In questo caso anche se sei in possesso di un certificato di distruzione, in caso di rinvenimento o accesso a terzi non autorizzati, sei sempre ritenuto responsabile dall’autorità garante per non aver vigilato correttamente sull’operato del service provider e delle misure di sicurezza messe in atto.

La cancellazione dei dati è un obbligo di legge, non una scelta. Come assicurarsi una distruzione sicura e certificata

Ecco un riepilogo sintetico per assicurarsi che i dati contenuti in documenti di carta e digitali siano distrutti in modo sicuro e certificato.

  1. Affidarsi solo a un’azienda certificata. Non affidare i dati riservati alle imprese di pulizia o aziende che offrono il semplice macero
  2. Distruggere gli archivi cartacei direttamente in sede e sotto il controllo del Titolare del Trattamento
  3. Se non è possibile distruggere in sede, assicurarsi che l’azienda trasporti i documenti (cartacei o digitali) nella sede di distruzione assumendosi carica di responsabile del trattamento e legale di eventuali data breach. Verificare se sono presenti polizze assicurative professionali E&O e non le semplici RCT RTO per indennizzi dovuti a data breach.
  4. Controllare che la distruzione degli archivi di carta sia irrimediabile e definitiva e che le informazioni non possano essere recuperate. Questo è assicurato solo da aziende con certificazione UNI 21964 e UNI EN 15713
  5. Se i dispositivi digitali non devono essere riutilizzati, renderli inutilizzabili con una smagnetizzazione e poi distruggerli fisicamente con un trituratore industriale
  6. Se i dispositivi devono essere riutilizzati, la semplice formattazione non basta. Per cancellare definitivamente i file servono procedure di Wiping (sovrascrittura) ultra-professionali.
  7. Farsi rilasciare un certificato di avvenuta distruzione con indicazione dei documenti e archivi digitali distrutti. In caso di eventuali azioni legali l’azienda potrà dimostrare di avere messo in atto le misure di sicurezza adeguare richieste dal GDPR.

Distruzione Documenti Srl: il tuo fornitore per servizi di distruzione e cancellazione, sicura e certificata

Distruzione Documenti è la prima azienda italiana ad offrire un servizio di distruzione sicura e certificata di documenti, archivi aziendali e supporti digitali che contengono informazioni riservate. Il servizio è destinato a professionisti, piccole, medie e grandi imprese, enti pubblici nazionali e locali e a soggetti che possiedono informazioni classificate. Scopri i nostri servizi.