Se pensiamo alla protezione dei dati sensibili, il primo livello a cui facciamo riferimento è quasi sempre quello informatico. Spesso commettiamo l'errore di non considerare anche i documenti cartacei, eppure nei sacchi dell'immondizia finiscono molti dati con informazioni dirette e indirette, relative a dipendenti, amici e clienti.
Il Regolamento dell’Unione Europea n. 679 del 27 aprile 2016, anche detto GDPR (General Data Protection Regulation) all’articolo 4, statuisce che per dato personale deve intendersi “qualsiasi informazione riguardante una persona fisica identificata o identificabile” dove per identificabile deve considerarsi “la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Succede spesso di trovare tali informazioni tra i rifiuti: dati identificativi (nome, indirizzo, mail, telefono), dati relativi al nostro stato di salute (ricette mediche, impegnative, bugiardini e confezioni di farmaci), ma anche dati relativi alle nostre capacità economiche (buste paga, documenti contabili bancari). Capita anche di gettare appunti con numeri di telefono e indirizzi, come anche altre delicatissime informazioni che potrebbero violare il nostro diritto alla riservatezza e quello altrui.
Proprio per questo, l’art. 32 del GDPR, non si riferisce esclusivamente alle misure di sicurezza da applicare al dato digitale, ma anche a quelli in formato “analogico”. La prima regola da adottare è sempre quella del buon senso: non lasciare in bella vista documenti con dati personali in ufficio o nel luogo dove si ricevono altre persone, non mischiare documenti con dati personali con altri documenti, per non rischiare che finiscano tutti insieme. Certamente poi, nel rispetto del GDPR, occorre prendere in mano la situazione e dotarsi di una policy per il trattamento dei documenti sensibili, di modo da chiarire a tutto il personale le procedure da seguire.
Un altro aspetto altrettanto fondamentale a cui si presta poca attenzione, è quello delle pulizie dei locali. Solitamente le pulizie vengono svolte in orari non lavorativi e l'impresa ha libero accesso alla documentazione (sempre che questa non sia tenuta sotto chiave). Onde evitare dispersioni, danneggiamenti o furti di documenti, il primo consiglio è quello di custodire correttamente i documenti. In seconda battuta, occorre inserire specifiche clausole contrattuali con l'impresa, che tengano conto di fornire in forma scritta:
• l’elenco di tutti i dipendenti che si recheranno nelle vostre pertinenze, in modo da poter identificare ogni soggetto che accede ai locali;
• comunicazione delle variazioni di personale;
• istruzioni precise su come avviene lo smaltimento dei rifiuti (soprattutto cartacei) all’esterno dell’azienda;
• erogazione di idonea formazione al personale sui comportamenti da adottare e sulle possibili conseguenze in caso di condotta scorretta
Queste clausole vi permettono di potervi tutelare in caso di gravi violazioni e scoraggeranno l'impresa nel commettere errori e/o scorrettezze.
Un ulteriore capitolo, spesso problematico, è quello dello smaltimento dei dispositivi informatici giunti a fine utilizzo. Questi contengono moltissime informazioni nelle memorie che, se non cifrate, restano accessibili a qualsiasi altro dispositivo. Inoltre se formattate con poca cura, i dati possono comunque essere recuperati medianti appositi software di recovery. Che fare, quindi?
Sicuramente è consigliabile istituire procedure di smaltimento certificate, sia per la documentazione cartacea, sia per quella elettronica affidandosi a imprese specializzate come la nostra, che rilasciano certificazioni di avvenuta distruzione con modalità controllate, sicure e definitive.
Attenzione però alle aziende che rivendono device e dispositivi dismessi ai propri dipendenti (magari sorvolando sulla formattazione), così come ai servizi di noleggio a lungo termine: fondamentale rimane la previsione contrattuale di una cancellazione certificata e documentata delle memorie prima della sostituzione.