“…la necessità di distruggere dati personali su supporti cartacei e informatici, nasce non solo dall'obbligo di rispettare il codice della privacy, ma anche dalla necessità di rispettare misure di protezione da spionaggio industriale…”

Il decreto legislativo numero 196/2003, chiamato comunemente codice della privacy, impone precise regole per la custodia dei dati personali, che si trovano su supporto informatizzato o su supporto cartaceo o di altra natura.
Il codice impone altresì precise regole per la distruzione dei supporti, su cui si trovano dati personali, quando essi debbono essere cancellati, ad esempio perché è terminato il periodo di conservazione, in base alle finalità dichiarate in fase di raccolta. Oggi si può affermare che la grande maggioranza dei dati personali è conservata su supporto informatizzato, come ad esempio un disco o nastro magnetico, oppure un CD o DVD, oppure su supporto cartaceo. Le considerazioni che seguono si applicano anche ad altri tipi di supporto, come ad esempio i microfilm, che però oggi stanno incontrando un interesse minore, per la disponibilità di altri supporti di archiviazione più efficienti, efficaci e meno costosi. Un titolare ed un responsabile di trattamento di dati personali si trova quindi sistematicamente di fronte all'esigenza di distruggere supporti, sui quali sono riportati dati personali.

Ecco cosa prescrive il codice.
ALLEGATO B
Punto 22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili.

LE ISPEZIONI SULLE MODALITÀ DI DISTRUZIONE
L’intensa attività ispettiva, avviata dall'autorità garante per la protezione dei dati personali, con l’assistenza del corpo della guardia di finanza, rende sempre più realistica l’ipotesi che, nel corso di un’ispezione, gli ispettori chiedano in particolare di verificare le modalità con le quali il titolare del trattamento provvede alla distruzione di dati obsoleti, siano essi presenti su supporto cartaceo o su supporto informatizzato. A questo punto è evidente che occorre presentare un documento, nel quale sia stata illustrata l'analisi di rischio condotta dal titolare o dal responsabile, che ha portato a identificare quale sia il livello appropriato di distruzione per un particolare supporto, contenente particolari dati personali. È proprio da questa triangolazione che nasce la scelta operativa.
Come accennato in precedenza, la legge non impone infatti di proteggere tutti i dati allo stesso modo, ma di stabilire misure di sicurezza, tanto più cogenti, quanto più sono critici i dati personali in questione. Ovviamente, il titolare dell'azienda provvederà ad inquadrare in questa analisi di rischio anche documenti, non contenenti dati personali, ma che per vari motivi debbono comunque essere adeguatamente protetti e distrutti in modo controllato. Ad esempio, memorandum interni afferenti alle ricerche avanzate, modelli di brevetto in corso di deposito, memorandum interni con elementi tecnici, che non rientrerebbero a rigore nella casistica di protezione prevista dal codice della privacy, richiedono comunque di essere inquadrati in una congrua politica di distruzione. Una volta tanto, i dettati di legge giungono quindi in aiuto per inquadrare in una filosofia omogenea l’intera problematica della distruzione di documenti, che di rigore non rientrano nella tutela della legge.