Cancellazione dati certificata
per aziende e compliance GDPR

La cancellazione dati certificata è importante perché permette all’azienda di gestire in modo responsabile i dati contenuti nei dispositivi informatici. Ogni impresa utilizza strumenti che conservano informazioni: PC, notebook, server, smartphone, tablet, dischi esterni, chiavette USB e altri supporti. Quando questi strumenti vengono dismessi, ceduti, sostituiti o riassegnati, i dati non devono rimanere accessibili.

Il problema non riguarda solo la sicurezza informatica in senso stretto. Riguarda la responsabilità dell’azienda. Se un dispositivo esce dal controllo aziendale con dati recuperabili, possono nascere problemi legali, reputazionali, contrattuali e organizzativi. Anche un computer vecchio o uno smartphone aziendale restituito può contenere informazioni riservate, dati personali, documenti amministrativi, file commerciali o credenziali.

La cancellazione certificata è utile perché introduce una prova. Non si limita a eliminare i dati, ma consente di documentare l’attività. Questo aspetto è essenziale in ottica GDPR e accountability: l’azienda deve poter dimostrare di aver adottato misure adeguate e proporzionate al rischio.

Per imprenditori, amministratori, CFO, DPO e responsabili compliance, il vantaggio è concreto: meno incertezza, più controllo e una documentazione utilizzabile in caso di audit, verifiche o richieste interne.

La semplice formattazione non dovrebbe essere considerata, da sola, una procedura sufficiente per gestire dispositivi aziendali che hanno contenuto dati personali o informazioni riservate. Formattare un computer o un disco può far apparire il dispositivo vuoto, ma non sempre garantisce che i dati siano stati eliminati in modo definitivo e non recuperabile.

Il punto, per un’azienda, non è soltanto se il dato sia ancora tecnicamente presente. Il punto è se l’azienda può dimostrare di aver seguito una procedura corretta. In caso di audit o controllo privacy, una frase come “il computer è stato formattato” può non essere abbastanza solida se non è accompagnata da una prova, da una procedura e da un documento conservato.

Il GDPR si basa anche sul principio di responsabilizzazione. Questo significa che l’azienda deve adottare misure adeguate e poter dimostrare di averlo fatto. Una cancellazione certificata risponde meglio a questa esigenza perché produce una documentazione associata al dispositivo e all’attività svolta.

La formattazione può avere senso per attività ordinarie, interne e non critiche. Quando però un dispositivo deve essere ceduto, venduto, dismesso, donato o riassegnato, la cancellazione certificata offre una tutela più coerente con il rischio aziendale.

Dovrebbero essere cancellati in modo certificato tutti i dispositivi che hanno contenuto dati aziendali, dati personali, documenti riservati o informazioni utili all’attività dell’impresa. I casi più comuni sono PC fissi, notebook, server, hard disk, SSD, dischi esterni, chiavette USB, smartphone e tablet aziendali.

Non bisogna pensare solo ai computer principali. Anche dispositivi apparentemente secondari possono contenere informazioni delicate. Uno smartphone può conservare email, contatti, allegati, app di lavoro e documenti sincronizzati. Un disco esterno può essere stato usato per copie temporanee o backup. Un notebook commerciale può contenere preventivi, listini, dati clienti e credenziali salvate. Un server dismesso può contenere archivi condivisi o informazioni amministrative.

Il criterio corretto è semplice: se il dispositivo ha avuto accesso a dati aziendali, prima di uscire dal controllo dell’impresa deve essere valutato. Questo vale quando viene venduto, restituito, donato, smaltito, archiviato o assegnato a un’altra persona.

La cancellazione certificata aiuta l’azienda a non distinguere caso per caso in modo improvvisato. Stabilisce una regola chiara e ripetibile, riducendo il rischio di dimenticanze e lasciando una prova documentale dell’attività svolta.

Un certificato di cancellazione dati dovrebbe contenere informazioni sufficienti a dimostrare che l’operazione è stata eseguita su uno specifico dispositivo e con un esito documentato. Non deve essere un documento generico, ma una prova collegata a un bene aziendale identificabile.

Tra gli elementi utili ci sono la data dell’operazione, il tipo di dispositivo, l’identificativo del supporto quando disponibile, l’esito della cancellazione, il riferimento alla procedura applicata e l’eventuale collegamento all’inventario aziendale. In un contesto ordinato, il certificato dovrebbe poter essere associato anche alla destinazione finale del dispositivo: riutilizzo, vendita, donazione, restituzione o smaltimento.

Il valore del certificato è soprattutto amministrativo e probatorio. Serve a rispondere a domande che possono emergere durante un audit, una verifica interna o un controllo privacy: questo dispositivo è stato cancellato? Quando? Con quale esito? Dove si trova la prova?

Senza certificato, l’azienda può anche aver cancellato correttamente i dati, ma potrebbe avere difficoltà a dimostrarlo. Con un certificato conservato in modo ordinato, invece, la procedura diventa tracciabile e più coerente con le esigenze di governance, compliance e accountability.