Copyright © Ambiente Diritto.it
Provvedimento 13 ottobre 2008
Garante per la protezione dei dati personali. Rifiuti di
apparecchiature elettriche ed elettroniche (Raee) e misure di sicurezza dei dati
personali.
(GU n. 287 del 9-12-2008 )
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente,
del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del
dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli,
segretario generale;
Visti gli atti d'ufficio relativi alla problematica del rinvenimento di dati
personali all'interno di apparecchiature elettriche ed elettroniche cedute a un
rivenditore per la dismissione o la vendita o a seguito di riparazioni e
sostituzioni;
Viste, altresi', le recenti notizie di stampa in ordine al rinvenimento da parte
dell'acquirente di un disco rigido usato, commercializzato attraverso un sito
Internet, di dati bancari relativi a oltre un milione di individui contenuti nel
disco medesimo;
Visto il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di
protezione dei dati personali), con particolare riferimento agli articoli 31 e
seguenti e 154, comma 1, lettera h), nonche' alle regole 21 e 22 del
disciplinare tecnico in materia di misure minime di sicurezza allegato «B» al
Codice;
Visto il decreto legislativo 25 luglio 2005, n. 151 (Attuazione delle direttive
2002/95/Ce, 2002/96/Ce e 2003/108/Ce, relative alla riduzione dell'uso di
sostanze pericolose nelle apparecchiature elettriche ed elettroniche, nonche'
allo smaltimento dei rifiuti), che prevede misure e procedure finalizzate a
prevenire la produzione di rifiuti di apparecchiature elettriche e elettroniche,
nonche' a promuovere il reimpiego, il riciclaggio e altre forme di recupero di
tali rifiuti in modo da ridurne la quantita' da avviare allo smaltimento (cfr.
art. 1, comma 1, lettere a) e b);
Considerato che l'applicazione della disciplina contenuta nel menzionato decreto
legislativo n. 151/2005, mirando (tra l'altro) a privilegiare il recupero di
componenti provenienti da rifiuti di apparecchiature elettriche ed elettroniche
(Raee), anche nella forma del loro reimpiego o del riciclaggio in beni oggetto
di (nuova) commercializzazione (cfr. in particolare articoli 1 e 3, comma 1,
lettere e) ed f), decreto legislativo n. 151/2005), comporta un rischio elevato
di «circolazione» di componenti elettroniche «usate» contenenti dati personali,
anche sensibili, che non siano stati cancellati in modo idoneo, e di conseguente
accesso ad essi da parte di terzi non autorizzati (quali, ad esempio, coloro che
provvedono alle predette operazioni propedeutiche al riutilizzo o che acquistano
le apparecchiature sopra indicate);
Considerato che il «reimpiego» consiste nelle operazioni che consentono
l'utilizzo dei rifiuti elettrici ed elettronici o di loro componenti «allo
stesso scopo per il quale le apparecchiature erano state originariamente
concepite, compresa l'utilizzazione di dette apparecchiature o di loro
componenti successivamente alla loro consegna presso i centri di raccolta, ai
distributori, ai riciclatori o ai fabbricanti» (art. 3, comma 1, lettera e),
decreto legislativo n. 151/2005) e il «riciclaggio» consiste nel «ritrattamento
in un processo produttivo dei materiali di rifiuto per la loro funzione
originaria o per altri fini» (art. 3, comma 1, lettera e), decreto legislativo
n. 151/2005);
Considerato che rischi di accessi non autorizzati ai dati memorizzati sussistono
anche in relazione a rifiuti di apparecchiature elettriche ed elettroniche
avviati allo smaltimento (art. 3, comma 1, lettera i), decreto legislativo n.
151/2005);
Rilevata la necessita' di richiamare l'attenzione su tali rischi di persone
giuridiche, pubbliche amministrazioni, altri enti e persone fisiche che,
avendone fatto uso nello svolgimento delle proprie attivita', in particolare
quelle industriali, commerciali, professionali o istituzionali (di seguito
sinteticamente individuati con la locuzione «titolari del trattamento»: art. 4,
comma 1, lettera f) del Codice), dismettono sistemi informatici o, piu' in
generale, apparecchiature elettriche ed elettroniche contenenti dati personali
(come pure dei soggetti che, su base individuale o collettiva, provvedono al
reimpiego, al riciclaggio o allo smaltimento dei rifiuti di dette
apparecchiature);
Rilevato che la disciplina di cui al citato decreto legislativo n. 151/2005 e
alla normativa secondaria che ne e' derivata (allo stato contenuta nel decreto
ministeriale 25 settembre 2007, n. 185, recante «Istituzione e modalita' di
funzionamento del registro nazionale dei soggetti obbligati al finanziamento dei
sistemi di gestione dei rifiuti di apparecchiature elettriche ed elettroniche (Raee)»,
nell'ulteriore decreto ministerile del 25 settembre 2007, recante «Istituzione
del Comitato di vigilanza e di controllo sulla gestione dei Raee», nonche' nel
decreto ministeriale 8 aprile 2008, recante «Disciplina dei centri di raccolta
dei rifiuti urbani raccolti in modo differenziato come previsto dall'art. 183,
comma 1, lettera cc) del decreto legislativo 3 aprile 2006, n. 152, e successive
modifiche») lascia impregiudicati gli obblighi che gravano sui titolari del
trattamento relativamente alle misure di sicurezza nel trattamento dei dati
personali (e la conseguente responsabilita');
Rilevato che ogni titolare del trattamento deve quindi adottare appropriate
misure organizzative e tecniche volte a garantire la sicurezza dei dati
personali trattati e la loro protezione anche nei confronti di accessi non
autorizzati che possono verificarsi in occasione della dismissione dei
menzionati apparati elettrici ed elettronici (articoli 31 e seguenti del
Codice); cio', considerato anche che, impregiudicati eventuali accordi che
prevedano diversamente, produttori, distributori e centri di assistenza di
apparecchiature elettriche ed elettroniche non risultano essere soggetti, in
base alla particolare disciplina di settore, a specifici obblighi di distruzione
dei dati personali eventualmente memorizzati nelle apparecchiature elettriche ed
elettroniche a essi consegnate;
Rilevato che dall'inosservanza delle misure di sicurezza puo' derivare in capo
al titolare del trattamento una responsabilita' penale (art. 169 del Codice) e,
in caso di danni cagionati a terzi, civile (articoli 15 del Codice e 2050 codice
civile);
Rilevato che analoghi obblighi relativi alla destinazione dei dati gravano sul
titolare del trattamento nel caso in cui la dismissione delle apparecchiature
coincida con la cessazione del trattamento (art. 16 del Codice);
Rilevato che le misure da adottare in occasione della dismissione di componenti
elettrici ed elettronici suscettibili di memorizzare dati personali devono
consistere nell'effettiva cancellazione o trasformazione in forma non
intelligibile dei dati personali negli stessi contenute, si' da impedire a
soggetti non autorizzati che abbiano a vario titolo la disponibilita' materiale
dei supporti di venirne a conoscenza non avendone diritto (si pensi, ad esempio,
ai dati personali memorizzati sul disco rigido dei personal computer o nelle
cartelle di posta elettronica, oppure custoditi nelle rubriche dei terminali di
comunicazione elettronica);
Considerato che tali misure risultano allo stato gia' previste quali misure
minime di sicurezza per i trattamenti di dati sensibili o giudiziari, sulla base
delle regole 21 e 22 del disciplinare tecnico in materia di misure minime di
sicurezza che disciplinano la custodia e l'uso dei supporti rimovibili sui quali
sono memorizzati i dati, che vincolano il riutilizzo dei supporti alla
cancellazione effettiva dei dati o alla loro trasformazione in forma non
intelligibile;
Ritenuto che i titolari del trattamento, in occasione della dismissione delle
menzionate apparecchiature elettriche ed elettroniche, qualora siano sprovvisti
delle necessarie competenze e strumentazioni tecniche per la cancellazione dei
dati personali, possono ricorrere all'ausilio o conferendo incarico a soggetti
tecnicamente qualificati in grado di porre in essere le misure idonee a
cancellare effettivamente o rendere non intelligibili i dati, quali centri di
assistenza, produttori e distributori di apparecchiature che attestino
l'esecuzione di tali operazioni o si impegnino ad effettuarle;
Ritenuto che chi procede al reimpiego o al riciclaggio di rifiuti di
apparecchiature elettriche ed elettroniche o di loro componenti debba comunque
assicurarsi dell'inesistenza o della non intelligibilita' di dati personali sui
supporti, acquisendo, ove possibile, l'autorizzazione a cancellarli o a renderli
non intelligibili;
Considerato che, ferma restando l'adozione di ulteriori opportune cautele volte
a prevenire l'indebita acquisizione di informazioni personali, anche fortuita,
da parte di terzi, le predette misure, suscettibili di aggiornamento alla luce
dell'evoluzione tecnologica, possono in particolare consistere, a seconda dei
casi, anche nelle procedure di cui agli allegati documenti, che costituiscono
parte integrante del presente provvedimento;
Ritenuta la necessita' di curare la conoscenza tra il pubblico della disciplina
rilevante in materia di trattamento dei dati personali e delle relative
finalita', nonche' delle misure di sicurezza dei dati (art. 154, comma 1,
lettera h), del Codice), con riferimento alla dismissione di apparecchiature
elettriche ed elettroniche, anche attraverso la pubblicazione del presente
provvedimento nella Gazzetta Ufficiale della Repubblica italiana;
Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Giuseppe Fortunato;
Tutto cio' premesso il Garante
1. Ai sensi dell'art. 154, comma 1, lettera h) del Codice, richiama l'attenzione
di persone giuridiche, pubbliche amministrazioni, altri enti e persone fisiche
che, avendone fatto uso nello svolgimento delle proprie attivita', in
particolare quelle industriali, commerciali, professionali o istituzionali, non
distruggono, ma dismettono supporti che contengono dati personali, sulla
necessita' di adottare idonei accorgimenti e misure, anche con l'ausilio di
terzi tecnicamente qualificati, volti a prevenire accessi non consentiti ai dati
personali memorizzati nelle apparecchiature elettriche ed elettroniche destinate
a essere:
a) reimpiegate o riciclate, anche seguendo le procedure di cui all'allegato A);
b) smaltite, anche seguendo le procedure di cui all'allegato B).
Tali misure e accorgimenti possono essere attuate anche con l'ausilio o
conferendo incarico a terzi tecnicamente qualificati, quali centri di
assistenza, produttori e distributori di apparecchiature che attestino
l'esecuzione delle operazioni effettuate o che si impegnino ad effettuarle.
Chi procede al reimpiego o al riciclaggio di rifiuti di apparecchiature
elettriche ed elettroniche o di loro componenti e' comunque tenuto ad
assicurarsi dell'inesistenza o della non intelligibilita' di dati personali sui
supporti, acquisendo, ove possibile, l'autorizzazione a cancellarli o a renderli
non intelligibili.
2. Dispone che copia del presente provvedimento sia trasmesso al Ministero della
giustizia - Ufficio pubblicazione leggi e decreti, per la sua pubblicazione
nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 13 ottobre 2008
Il presidente
Pizzetti
Il relatore
Fortunato
Il segretario generale
Buttarelli
Allegato A)
REIMPIEGO E RICICLAGGIO DI RIFIUTI DI APPARECCHIATURE ELETTRICHE ED ELETTRONICHE
In caso di reimpiego e riciclaggio di rifiuti di apparecchiature elettriche ed
elettroniche le misure e gli accorgimenti volti a prevenire accessi non
consentiti ai dati personali in esse contenuti, adottati nel rispetto delle
normative di settore, devono consentire l'effettiva cancellazione dei dati o
garantire la loro non intelligibilita'. Tali misure, anche in combinazione tra
loro, devono tenere conto degli standard tecnici esistenti e possono consistere,
tra l'altro, in:
Misure tecniche preventive per la memorizzazione sicura dei dati, applicabili a
dispositivi elettronici o informatici:
1. Cifratura di singoli file o gruppi di file, di volta in volta protetti con
parole-chiave riservate, note al solo utente proprietario dei dati, che puo' con
queste procedere alla successiva decifratura. Questa modalita' richiede
l'applicazione della procedura di cifratura ogni volta che sia necessario
proteggere un dato o una porzione di dati (file o collezioni di file), e
comporta la necessita' per l'utente di tenere traccia separatamente delle
parole-chiave utilizzate;
2. Memorizzazione dei dati sui dischi rigidi (hard-disk) dei personal computer o
su altro genere di supporto magnetico od ottico (cd-rom, dvd-r) in forma
automaticamente cifrata al momento della loro scrittura, tramite l'uso di
parole-chiave riservate note al solo utente. Puo' effettuarsi su interi volumi
di dati registrati su uno o piu' dispositivi di tipo disco rigido o su porzioni
di essi (partizioni, drive logici, file-system) realizzando le funzionalita' di
un c.d. file-system crittografico (disponibili sui principali sistemi operativi
per elaboratori elettronici, anche di tipo personal computer, e dispositivi
elettronici) in grado di proteggere, con un'unica parola-chiave riservata,
contro i rischi di acquisizione indebita delle informazioni registrate. L'unica
parola-chiave di volume verra' automaticamente utilizzata per le operazioni di
cifratura e decifratura, senza modificare in alcun modo il comportamento e l'uso
dei programmi software con cui i dati vengono trattati.
Misure tecniche per la cancellazione sicura dei dati, applicabili a dispositivi
elettronici o informatici:
3. Cancellazione sicura delle informazioni, ottenibile con programmi informatici
(quali wiping program o file shredder) che provvedono, una volta che l'utente
abbia eliminato dei file da un'unita' disco o da analoghi supporti di
memorizzazione con i normali strumenti previsti dai diversi sistemi operativi, a
scrivere ripetutamente nelle aree vuote del disco (precedentemente occupate
dalle informazioni eliminate) sequenze casuali di cifre «binarie» (zero e uno)
in modo da ridurre al minimo le probabilita' di recupero di informazioni anche
tramite strumenti elettronici di analisi e recupero di dati. Il numero di
ripetizioni del procedimento considerato sufficiente a raggiungere una
ragionevole sicurezza (da rapportarsi alla delicatezza o all'importanza delle
informazioni di cui si vuole impedire l'indebita acquisizione) varia da sette a
trentacinque e incide proporzionalmente sui tempi di applicazione delle
procedure, che su dischi rigidi ad alta capacita' (oltre i 100 gigabyte) possono
impiegare diverse ore o alcuni giorni), a secondo della velocita' del computer
utilizzato.
4. Formattazione «a basso livello» dei dispositivi di tipo hard disk (low-level
formatting-LLF), laddove effettuabile, attenendosi alle istruzioni fornite dal
produttore del dispositivo e tenendo conto delle possibili conseguenze tecniche
su di esso, fino alla possibile sua successiva inutilizzabilita';
5. Demagnetizzazione (degaussing) dei dispositivi di memoria basati su supporti
magnetici o magneto-ottici (dischi rigidi, floppy-disk, nastri magnetici su
bobine aperte o in cassette), in grado di garantire la cancellazione rapida
delle informazioni anche su dispositivi non piu' funzionanti ai quali potrebbero
non essere applicabili le procedure di cancellazione software (che richiedono l'accessibilita'
del dispositivo da parte del sistema a cui e' interconnesso).
Allegato B)
SMALTIMENTO DI RIFIUTI ELETTRICI ED ELETTRONICI
In caso di smaltimento di rifiuti elettrici ed elettronici, l'effettiva
cancellazione dei dati personali dai supporti contenuti nelle apparecchiature
elettriche ed elettroniche puo' anche risultare da procedure che, nel rispetto
delle normative di settore, comportino la distruzione dei supporti di
memorizzazione di tipo ottico o magneto-ottico in modo da impedire
l'acquisizione indebita di dati personali.
La distruzione dei supporti prevede il ricorso a procedure o strumenti diversi a
secondo del loro tipo, quali: sistemi di punzonatura o deformazione meccanica;
distruzione fisica o di disintegrazione (usata per i supporti ottici come i
cd-rom e i dvd);
demagnetizzazione ad alta intensita'.