E'pur vero che negli Stati Uniti le regole riguardanti la privacy e la sicurezza dei dati sono meno stringenti rispetto alle previsioni del nostro GDPR, ma ciò non impedisce di assistere a condanne e sanzioni esemplari. E' quanto è successo alla famossissima banca Morgan Stanley, una tra le più potenti e ricche del mondo: ben 60 milioni di dollari è l'ammontare della sanzione che l'Office of the Comptroller of the Currency ha deciso di comminare a causa di dismissioni non adeguate di alcuni server in uso nell'istituto bancario.

Le violazioni riscontrare sono avvenute, in un primo momento, nel 2016, quando una società terza affidataria della cancellazione dei dati dai data center in via di dismissione, aveva informato Morgan Stanley del rischio che alcune informazioni di clienti potessero essere rimaste, in forma non criptata, su alcuni server dismessi. Nel 2019 si è poi verificato un secondo episodio: in questo caso il produttore di un server sostituito in una delle filiai della banca, aveva avvisato del fatto che sul disco rigido della macchina dismessa potevano essere rimasti alcuni dati dei clienti, a causa di un difetto del software usato per la proceduta di "data wiping". Data la situazione, la banca aveva deciso di avvertire i clienti e il Procuratore Generale della California dei passibili data breach, ma pochi mesi dopo i clienti hanno deciso di avviare una class action contro Morgan Stanley. Trascinata in tribunale, la banca si è difesa spiegando di avere monitorato lo status dei dati e di non aver rilevato alcuna attività non autorizzata, né accesso né utilizzo improprio dei dati eprsonali dei clienti.

Evidentemente la difesa non ha convinto l'Office of the Comptroller of the Currency, che ha optato per la sanzione record di 60 milioni di dollari. Morgan Stanley è stata ritenuta colpevole di non aver verificato adeguatamente la dismissione dei data center, ottenendo solo una cancellazione parziale e fallace dei dati ed esponendo così i clienti a rischio frodi, furto d'idetità, rivendita dei propri dati personali e sensibili sul dark web. Insomma, la condanna a Morgan Stanley indica chiaramente come, anche nel caso in cui si decida di avvalersi di sogetti terzi, resti in vigore la responsabilità dei titolari di vigilare sulla corretta esecuzione delle procedure di smaltimento, sia dal punto di vista ambientale che della protezione dei dati.

In Europa il GDPR è estremamente chiaro e severo sul punto, prevedendo nei fatti l'obbligo di procedere alla cancellazione irreversibile dei dati in caso di dismissione o destinazione ad altra attività/ proprietario di un dispositivo contenente dati. La cancellazione può avvenire in varie forme, come indicato dal Garante che ha pubblicato istruzioni pratiche sul tema:

• tramite distruzione fisica irreversibile del supporto;
• tramite smagnetizzazione del supporto, con l'impiego di uno specifico macchinario detto "degausser";
• tramite software che producano sovrascritture dell'intero hard disk fino alla cancellazione dei dati contenuti (data wiping).

Ogni cancellazione dati deve essere garantita da un certificato, che dovrà essere consultabile in caso di controllo dell'autorità preposta. In caso di riscontro di irregolarità in questa procedura, il GDPR prevede sanzioni di entità valutabile a seconda della gravità della violazione.

Per approfondire le previsioni del GDPR riguardo la cancellazione certificata, consigliamo di consultare il nostro approfondimento "Cancellazione certificata: perché è necessario cancellare i dati in modo sicuro?"