E’ sconsigliata la scrittura di dati sensibili e giudiziari su supporti rimovibili (CD, DVD, dispositivi USB,). Qualora se ne ravvisi l’indispensabilità, è necessario ridurre al minimo la permanenza di tali dati sul dispositivo utilizzato e, al termine del trattamento effettuato, provvedere:

  1. alla loro cancellazione mediante tecniche che li rendano non intelligibili e ricostruibili, se riutilizzati per differenti trattamenti, oppure,
  2.  alla loro distruzione, oppure, 
  3. alla loro conservazione secondo quanto prescritto al successivo punto

Sui computer devono essere installati solo software autorizzati, ed adottati per i loro aspetti di funzionalità e sicurezza per i quali sia stato fatto uno studio di impatto nella realtà produttiva. I PC portatili di proprietà non devono essere usati per scopi diversi da quelli aziendali, lo stesso dicasi per i pc e gli smartphone che non risultano essere di proprietà. Come evidenziato nella Gestione dei rischi, nelle policy aziendali e nel registro del trattamento tutti i PC, compresi gli 'stand alone' e i portatili, devono essere dotati della versione più aggiornata del software antivirus adottato.

Devono essere disponibili copie pulite di backup dei pacchetti software originali per la reinstallazione in caso di virus.

Gli utilizzatori non devono trasferire sui loro PC dati o programmi provenienti da floppy, o altre unità di immagazzinamento dati, non preventivamente monitorate dall’antivirus[1].

L’utilizzatore che ritenga che il suo PC sia stato infettato da virus deve immediatamente avvisare il responsabile della sicurezza dei dati personali. Il PC potrà essere utilizzato soltanto dopo la rimozione dei virus.

I supporti rimovibili contenenti dati sensibili o giudiziari devono essere custoditi ed utilizzati in maniera tale da non poter essere accessibili da persone non autorizzate. Una volta cessato lo scopo di conservazione dei dati, i supporti devono essere resi inintelligibili in modo tale da non poter ricostruire i dati in essi contenuti, ossia si deve, se necessario, distruggere il supporto.

E decisione del Titolare, sentito eventualmente il DPO ed in accoro con i responsabili che per i supporti contenenti dati personali di qualsiasi natura, anche comuni, si raccomanda di seguire le prescrizioni valide per i dati sensibili, questo al fine di garantire un elevato grado di controllo in termini di sicurezza e per cercare di ovviare all’errore umano, dovuto ad esempio alla poca conoscenza della materia dei dati privati.

Dello stesso tenore nelle giustificazioni e nelle intenzioni vi è la regola per cui deve essere possibile eseguire copie non autorizzate dei dati su supporti rimovibili (chiavi USB, dischi esterni, ecc.) da parte di nessuno, ed un eventuale consenso alla copia deve essere rilasciato in forma scritta contenente il motivo della richiesta.

Comunque una eventuale copia di dati su supporto esterno, indispensabile per lo svolgimento dell’attività, potrà essere effettuate solo seguendo le seguenti istruzioni:

·          il supporto che dovrà contenere la copia dei dati dovrà essere formattato inizialmente;

·          attivare la protezione per ulteriori scritture una volta eseguita la prima;

·          il supporto contenente la copia dovrà essere custodito da chi lo ha realizzato;

·          in caso di spedizione, ad esempio via mail, occorre essere certi che chi riceve  abbia lo stesso profilo di autorizzazione di chi spedisce;

·          procedere alla cancellazione attraverso formattazione del supporto nel momento in cui i dati contenuti non hanno più ragione di essere su quel supporto;


[1] Se si utilizza ad esempio una pennetta di memoria USB questa deve essere scansionata dall’antivirus prima del suo utilizzo.