Cancellare i file da un supporto di memoria non significa eliminarli in maniera definitiva, così come non è sufficiente formattare il disco per eliminare i dati al suo interno. Quando un disco rigido è formattato infatti, solo il FAT (tabella di allocazione file) viene cancellata. Ciò significa che le informazioni sono ancora sul disco rigido, anche se non accessibili nel modo consueto.

Per questa ragione è necessario avvalersi di una Cancellazione sicura delle informazioni, ottenibile con programmi informatici (quali wiping program o file shredder) che provvedono, una volta che l'utente abbia eliminato dei file da un'unità disco o da analoghi supporti di memorizzazione con i normali strumenti previsti dai diversi sistemi operativi, a scrivere ripetutamente nelle aree vuote del disco (precedentemente occupate dalle informazioni eliminate) sequenze casuali di cifre "binarie" (zero e uno) in modo da ridurre al minimo le probabilità di recupero di informazioni anche tramite strumenti elettronici di analisi e recupero di dati.

Cancellare i dati in modo certo e definitivo al momento della dismissione del device o della sostituzione dell'unità di memoria è un obbligo ripetutamente indicato dal GDPR:

1. Art. 4 del GDPR 2016/679 - leggi qui
Nella definizione di "trattamento" sono incluse la cancellazione o la distruzione dei dati.

2. Art. 5 del GDPR 2016/679 - leggi qui
Si specifica che i dati devono essere conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.

3. Art. 17 del GDPR 2016/679 - leggi qui
Si obbliga ad avvalersi di sistemi di rimozione certificata per rimuoverli in modo permanente nel rispetto della loro Privacy (diritto all'oblio).

Il Garante Privacy ha definito le modalità di cancellazione dei dati con Provvedimento del 13 ottobre 2008 (G.U. n.287 del 9 dicembre 2008) "Rifiuti di apparecchiature elettriche ed elettroniche (Raee) e misure di sicurezza dei dati personali" secondo cui, ai sensi dell´art. 154, comma 1, lett. h), viene richiamata l´attenzione di persone giuridiche, pubbliche amministrazioni, altri enti e persone fisiche che, avendone fatto uso nello svolgimento delle proprie attività, in particolare quelle industriali, commerciali, professionali o istituzionali, non distruggono, ma dismettono supporti che contengono dati personali, sulla necessità di adottare idonei accorgimenti e misure, anche con l´ausilio di terzi tecnicamente qualificati, volti a prevenire accessi non consentiti ai dati personali memorizzati nelle apparecchiature elettriche ed elettroniche destinate a essere:

• reimpiegate o riciclate, anche seguendo le procedure;
• smaltite, anche seguendo le procedure.

Quindi anche tutti coloro che procedono al reimpiego o al riciclaggio di rifiuti di apparecchiature elettriche ed elettroniche o di loro componenti sono tenuti ad assicurarsi dell'inesistenza o della non intelligibilità dei dati personali presenti sui supporti. In questo caso è opportuno specificare che la memoria deve essere cancellata in maniera certificata prima di procedere allo smaltimento del dispositivo elettronico.

Tutte le imprese e gli studi professionali che non rispettano l’obbligo di cancellazione certificata dei dati si espongono a sanzioni amministrative pecuniarie che possono arrivare fino a 10 o 20 milioni di euro oppure al 2% o 4% del fatturato mondiale annuo dell'esercizio precedente, in relazione al tipo di violazione.