Garante per i dati personali - 13/10/2008 - n. 34976 Articolo unico1. Ai sensi dell'art. 154, comma 1, lettera h) del Codice, richiama l'attenzione di persone giuridiche, pubbliche amministrazioni, altri enti e persone fisiche che, avendone fatto uso nello svolgimento delle proprie attivita', in particolare quelle industriali, commerciali, professionali o istituzionali, non distruggono, ma dismettono supporti che contengono dati personali, sulla necessita' di adottare idonei accorgimenti e misure, anche con l'ausilio di terzi tecnicamente qualificati, volti a prevenire accessi non consentiti ai dati personali memorizzati nelle apparecchiature elettriche ed elettroniche destinate a essere: a) reimpiegate o riciclate, anche seguendo le procedure di cui all'allegato A); b) smaltite, anche seguendo le procedure di cui all'allegato B). Tali misure e accorgimenti possono essere attuate anche con l'ausilio o conferendo incarico a terzi tecnicamente qualificati, quali centri di assistenza, produttori e distributori di apparecchiature che attestino l'esecuzione delle operazioni effettuate o che si impegnino ad effettuarle. Chi procede al reimpiego o al riciclaggio di rifiuti di apparecchiature elettriche ed elettroniche o di loro componenti e' comunque tenuto ad assicurarsi dell'inesistenza o della non intelligibilita' di dati personali sui supporti, acquisendo, ove possibile, l'autorizzazione a cancellarli o a renderli non intelligibili. 2. Dispone che copia del presente provvedimento sia trasmesso al Ministero della giustizia - Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. InquadramentoCon l'emanazione del Provvedimento del 13 ottobre 2008, n. 1571514, il Garante per la Protezione dei Dati Personali ha inteso regolamentare, con meticolosa precisione, i processi riguardanti la gestione, lo smaltimento e il riutilizzo di dispositivi elettrici ed elettronici; ciò al fine di ergere una barriera protettiva contro il rischio di dispersione dei dati personali ivi contenuti, qual sorta di argine contro le maree digitali incontrollate. All'interno del rigore giuridico del Provvedimento, l'Autorità ha circoscritto, con estrema accuratezza, le linee guida per la gestione dei RAEE (Rifiuti da Apparecchiature Elettriche ed Elettroniche), tese ad impedire che dati personali, che spaziano da informazioni di contatto, a materiale multimediale, a dati bancari, e fino ai dati particolari ex art. 9 GDPR – quali informazioni relative alla salute – possano rimanere inscritti nelle memorie delle apparecchiature al momento della loro dismissione. Il tutto viene intrapreso all'interno di un quadro di prevenzione dei rischi connessi ai dati personali, quale il furto di identità. In un'epoca sempre più permeata dall'espansione incessante dell'Internet of Things, un universo in continua crescita, costellato da prodotti capaci di raccogliere e conservare un'incredibile mole di dati personali, tale intervento dell'Autorità risulta attuale anche diversi anni dopo la sua emanazione. Profili generaliL'Autorità Garante per la Protezione dei Dati Personali dell'Unione Europea aveva precedentemente esortato un'acuta focalizzazione sull'argomento, consigliando di incrementare la tutela dei dati personali implicita nella proposta adottata dalla Commissione Europea di revisione della Direttiva 2002/96/CE, attinente ai residui di apparecchiature elettriche ed elettroniche e che è recentemente stata oggetto di una proposta di modifica da parte del Parlamento Europeo in funzione di aggiornare la Direttiva nel ricomprendere i casi di utilizzo e smaltimento di apparecchiature innovative quali i pannelli fotovoltaici. L'Autorità italiana, pertanto, rivolge un esplicito monito a persone giuridiche, organismi pubblici, altre entità e individui che, nell'ambito del proprio esercizio professionale, industriale, commerciale o istituzionale, anziché procedere alla distruzione, dismettono supporti contenenti dati personali, sottolineando l'urgenza di adottare opportune precauzioni e misure, anche con l'assistenza di terzi tecnicamente competenti. Tali precauzioni dovranno essere specificatamente concepite per prevenire accessi non autorizzati ai dati personali archiviati nelle apparecchiature elettriche ed elettroniche destinate al riutilizzo, al riciclo o allo smaltimento. Il Provvedimento fornisce a tal proposito due allegati. Nel primo (Allegato A) sono delineate linee guida e procedure riguardanti i rifiuti di apparecchiature elettriche ed elettroniche (RAEE) destinati al riutilizzo o al riciclo, mentre nel secondo (Allegato B) quelle attinenti allo smaltimento. È notevole osservare come il Garante, nell'elaborazione dei due allegati che trattano questioni procedurali, impieghi il termine “anche”, consentendo alle parti interessate di promuovere e applicare ulteriori misure per conseguire gli stessi obiettivi di protezione, data l'evoluzione rapida e incontrollata della tecnologia. Nonostante la terminologia adoperata dall'Autorità suggerisca la possibilità di identificare modalità alternative a quelle prescritte, gli allegati menzionati offrono un elenco esauriente di procedure e misure tecniche da implementare. Ad esempio, nelle operazioni di riutilizzo e riciclo descritte nell'Allegato A, risulta necessario introdurre specifiche misure per l'eliminazione sicura dei dati memorizzati, ottenibili mediante l'impiego di software dedicati per la sovrascrittura dei dati, sistemi di formattazione e demagnetizzazione dei supporti. Per quanto riguarda invece lo smaltimento – Allegato B – si consiglia l'adozione di sistemi di punzonatura, deformazione magnetica, distruzione fisica o disintegrazione. È opportuno precisare che nel caso in cui un Titolare o Responsabile del Trattamento ricorra a soggetti terzi per lo smaltimento di tali materiali, questi ultimi devono impegnarsi a intraprendere azioni di cancellazione o trasformazione. Tuttavia, considerando che i produttori, i distributori e i centri di assistenza di apparecchiature elettriche ed elettroniche non sono sottoposti a normative di rango superiore che implichino il rispetto del provvedimento, sarà pertanto responsabilità del Titolare o Responsabile, che intende avvalersi di soggetti terzi per lo smaltimento dei RAEE, assicurarsi che tali entità si impegnino alla corretta eliminazione dei dati. In conclusione, applicando l'art. 28 del Regolamento Generale sulla Protezione dei Dati (GDPR), potrebbe essere necessario prevedere, all'interno del contratto o di qualsiasi altro strumento giuridico che vincoli il responsabile all'adozione delle misure richieste ai sensi dell'art. 32 del GDPR, un elenco delle misure di sicurezza previste dal Provvedimento in commento, svolgendo attività di audit periodico volto ad identificare eventuali non conformità nello smaltimento dei dispositivi RAEE. BibliografiaBolognini, Pelino, (a cura di), Codice della privacy. La disciplina europea e italiana in materia di protezione dei dati personali, Milano, 2019. |
