Gazzetta Ufficiale 9 dicembre 2008, n. 287
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof.
Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice
presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato,
componenti, e del dott. Giovanni Buttarelli, segretario generale;
Visti gli atti d'ufficio relativi alla problematica
del rinvenimento di dati personali all'interno di apparecchiature
elettriche ed elettroniche cedute a un rivenditore per la dismissione o
la vendita o a seguito di riparazioni e sostituzioni;
Viste, altresi', le recenti notizie di stampa in ordine al rinvenimento
da parte dell'acquirente di un disco rigido usato, commercializzato
attraverso un sito Internet, di dati bancari relativi a oltre un milione
di individui contenuti nel disco medesimo;
Visto il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia
di protezione dei dati personali), con particolare riferimento agli
articoli 31 e seguenti e 154, comma 1, lettera h), nonche' alle regole
21 e 22 del disciplinare tecnico in materia di misure minime di
sicurezza allegato «B» al Codice;
Visto il decreto legislativo 25 luglio 2005, n. 151 (Attuazione delle
direttive 2002/95/Ce, 2002/96/Ce e 2003/108/Ce, relative alla riduzione
dell'uso di sostanze pericolose nelle apparecchiature elettriche ed
elettroniche, nonche' allo smaltimento dei rifiuti), che prevede misure
e procedure finalizzate a prevenire la produzione di rifiuti di
apparecchiature elettriche e elettroniche, nonche' a promuovere il
reimpiego, il riciclaggio e altre forme di recupero di tali rifiuti in
modo da ridurne la quantita' da avviare allo smaltimento (cfr. art. 1,
comma 1, lettere a) e b);
Considerato che l'applicazione della disciplina
contenuta nel menzionato decreto legislativo n. 151/2005, mirando (tra
l'altro) a privilegiare il recupero di componenti provenienti da rifiuti
di apparecchiature elettriche ed elettroniche (Raee), anche nella forma
del loro reimpiego o del riciclaggio in beni oggetto di (nuova)
commercializzazione (cfr. in particolare articoli 1 e 3, comma 1,
lettere e) ed f), decreto legislativo n. 151/2005), comporta un rischio
elevato di «circolazione» di componenti elettroniche «usate» contenenti
dati personali, anche sensibili, che non siano stati cancellati in modo
idoneo, e di conseguente accesso ad essi da parte di terzi non
autorizzati (quali, ad esempio, coloro che provvedono alle predette
operazioni propedeutiche al riutilizzo o che acquistano le
apparecchiature sopra indicate);
Considerato che il «reimpiego» consiste nelle operazioni che consentono
l'utilizzo dei rifiuti elettrici ed elettronici o di loro componenti
«allo stesso scopo per il quale le apparecchiature erano state
originariamente concepite, compresa l'utilizzazione di dette
apparecchiature o di loro componenti successivamente alla loro consegna
presso i centri di raccolta, ai distributori, ai riciclatori o ai
fabbricanti» (art. 3, comma 1, lettera e), decreto legislativo n.
151/2005) e il «riciclaggio» consiste nel «ritrattamento in un processo
produttivo dei materiali di rifiuto per la loro funzione originaria o
per altri fini» (art. 3, comma 1, lettera e), decreto legislativo n.
151/2005);
Considerato che rischi di accessi non autorizzati ai dati memorizzati
sussistono anche in relazione a rifiuti di apparecchiature elettriche ed
elettroniche avviati allo smaltimento (art. 3, comma 1, lettera i),
decreto legislativo n. 151/2005);
Rilevata la necessita' di richiamare l'attenzione su
tali rischi di persone giuridiche, pubbliche amministrazioni, altri enti
e persone fisiche che, avendone fatto uso nello svolgimento delle
proprie attivita', in particolare quelle industriali, commerciali,
professionali o istituzionali (di seguito sinteticamente individuati con
la locuzione «titolari del trattamento»: art. 4, comma 1, lettera f) del
Codice), dismettono sistemi informatici o, piu' in generale,
apparecchiature elettriche ed elettroniche contenenti dati personali
(come pure dei soggetti che, su base individuale o collettiva,
provvedono al reimpiego, al riciclaggio o allo smaltimento dei rifiuti
di dette apparecchiature);
Rilevato che la disciplina di cui al citato decreto legislativo n.
151/2005 e alla normativa secondaria che ne e' derivata (allo stato
contenuta nel decreto ministeriale 25 settembre 2007, n. 185, recante
«Istituzione e modalita' di funzionamento del registro nazionale dei
soggetti obbligati al finanziamento dei sistemi di gestione dei rifiuti
di apparecchiature elettriche ed elettroniche (Raee)», nell'ulteriore
decreto ministerile del 25 settembre 2007, recante «Istituzione del
Comitato di vigilanza e di controllo sulla gestione dei Raee», nonche'
nel decreto ministeriale 8 aprile 2008, recante «Disciplina dei centri
di raccolta dei rifiuti urbani raccolti in modo differenziato come
previsto dall'art. 183, comma 1, lettera cc) del decreto legislativo 3
aprile 2006, n. 152, e successive modifiche») lascia impregiudicati gli
obblighi che gravano sui titolari del trattamento relativamente alle
misure di sicurezza nel trattamento dei dati personali (e la conseguente
responsabilita');
Rilevato che ogni titolare del trattamento deve quindi adottare
appropriate misure organizzative e tecniche volte a garantire la
sicurezza dei dati personali trattati e la loro protezione anche nei
confronti di accessi non autorizzati che possono verificarsi in
occasione della dismissione dei menzionati apparati elettrici ed
elettronici (articoli 31 e seguenti del Codice); cio', considerato anche
che, impregiudicati eventuali accordi che prevedano diversamente,
produttori, distributori e centri di assistenza di apparecchiature
elettriche ed elettroniche non risultano essere soggetti, in base alla
particolare disciplina di settore, a specifici obblighi di distruzione
dei dati personali eventualmente memorizzati nelle apparecchiature
elettriche ed elettroniche a essi consegnate;
Rilevato che dall'inosservanza delle misure di sicurezza puo' derivare
in capo al titolare del trattamento una responsabilita' penale (art. 169
del Codice) e, in caso di danni cagionati a terzi, civile (articoli 15
del Codice e 2050 codice civile);
Rilevato che analoghi obblighi relativi alla destinazione dei dati
gravano sul titolare del trattamento nel caso in cui la dismissione
delle apparecchiature coincida con la cessazione del trattamento (art.
16 del Codice);
Rilevato che le misure da adottare in occasione della dismissione di
componenti elettrici ed elettronici suscettibili di memorizzare dati
personali devono consistere nell'effettiva cancellazione o
trasformazione in forma non intelligibile dei dati personali negli
stessi contenute, si' da impedire a soggetti non autorizzati che abbiano
a vario titolo la disponibilita' materiale dei supporti di venirne a
conoscenza non avendone diritto (si pensi, ad esempio, ai dati personali
memorizzati sul disco rigido dei personal computer o nelle cartelle di
posta elettronica, oppure custoditi nelle rubriche dei terminali di
comunicazione elettronica);
Considerato che tali misure risultano allo stato gia'
previste quali misure minime di sicurezza per i trattamenti di dati
sensibili o giudiziari, sulla base delle regole 21 e 22 del disciplinare
tecnico in materia di misure minime di sicurezza che disciplinano la
custodia e l'uso dei supporti rimovibili sui quali sono memorizzati i
dati, che vincolano il riutilizzo dei supporti alla cancellazione
effettiva dei dati o alla loro trasformazione in forma non
intelligibile;
Ritenuto che i titolari del trattamento, in occasione della dismissione
delle menzionate apparecchiature elettriche ed elettroniche, qualora
siano sprovvisti delle necessarie competenze e strumentazioni tecniche
per la cancellazione dei dati personali, possono ricorrere all'ausilio o
conferendo incarico a soggetti tecnicamente qualificati in grado di
porre in essere le misure idonee a cancellare effettivamente o rendere
non intelligibili i dati, quali centri di assistenza, produttori e
distributori di apparecchiature che attestino l'esecuzione di tali
operazioni o si impegnino ad effettuarle;
Ritenuto che chi procede al reimpiego o al riciclaggio di rifiuti di
apparecchiature elettriche ed elettroniche o di loro componenti debba
comunque assicurarsi dell'inesistenza o della non intelligibilita' di
dati personali sui supporti, acquisendo, ove possibile, l'autorizzazione
a cancellarli o a renderli non intelligibili;
Considerato che, ferma restando l'adozione di ulteriori opportune
cautele volte a prevenire l'indebita acquisizione di informazioni
personali, anche fortuita, da parte di terzi, le predette misure,
suscettibili di aggiornamento alla luce dell'evoluzione tecnologica,
possono in particolare consistere, a seconda dei casi, anche nelle
procedure di cui agli allegati documenti, che costituiscono parte
integrante del presente provvedimento;
Ritenuta la necessita' di curare la conoscenza tra il pubblico della
disciplina rilevante in materia di trattamento dei dati personali e
delle relative finalita', nonche' delle misure di sicurezza dei dati
(art. 154, comma 1, lettera h), del Codice), con riferimento alla
dismissione di apparecchiature elettriche ed elettroniche, anche
attraverso la pubblicazione del presente provvedimento nella Gazzetta
Ufficiale della Repubblica italiana;
Viste le osservazioni formulate dal segretario
generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Giuseppe Fortunato;
Tutto cio' premesso il Garante
1. Ai sensi dell'art. 154, comma 1, lettera h) del
Codice, richiama l'attenzione di persone giuridiche, pubbliche
amministrazioni, altri enti e persone fisiche che, avendone fatto uso
nello svolgimento delle proprie attivita', in particolare quelle
industriali, commerciali, professionali o istituzionali, non
distruggono, ma dismettono supporti che contengono dati personali, sulla
necessita' di adottare idonei accorgimenti e misure, anche con l'ausilio
di terzi tecnicamente qualificati, volti a prevenire accessi non
consentiti ai dati personali memorizzati nelle apparecchiature
elettriche ed elettroniche destinate a essere:
a) reimpiegate o riciclate, anche seguendo le procedure di cui
all'allegato A);
b) smaltite, anche seguendo le procedure di cui all'allegato B).
Tali misure e accorgimenti possono essere attuate anche con l'ausilio o
conferendo incarico a terzi tecnicamente qualificati, quali centri di
assistenza, produttori e distributori di apparecchiature che attestino
l'esecuzione delle operazioni effettuate o che si impegnino ad
effettuarle.
Chi procede al reimpiego o al riciclaggio di rifiuti di apparecchiature
elettriche ed elettroniche o di loro componenti e' comunque tenuto ad
assicurarsi dell'inesistenza o della non intelligibilita' di dati
personali sui supporti, acquisendo, ove possibile, l'autorizzazione a
cancellarli o a renderli non intelligibili.
2. Dispone che copia del presente provvedimento sia trasmesso al
Ministero della giustizia - Ufficio pubblicazione leggi e decreti, per
la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 13 ottobre 2008
Il presidente
Pizzetti
Il relatore
Fortunato
Il segretario generale
Buttarelli
Allegato A)
REIMPIEGO E RICICLAGGIO DI RIFIUTI DI APPARECCHIATURE ELETTRICHE ED
ELETTRONICHE
In caso di reimpiego e riciclaggio di rifiuti di
apparecchiature elettriche ed elettroniche le misure e gli accorgimenti
volti a prevenire accessi non consentiti ai dati personali in esse
contenuti, adottati nel rispetto delle normative di settore, devono
consentire l'effettiva cancellazione dei dati o garantire la loro non
intelligibilita'. Tali misure, anche in combinazione tra loro, devono
tenere conto degli standard tecnici esistenti e possono consistere, tra
l'altro, in:
Misure tecniche preventive per la memorizzazione sicura dei dati,
applicabili a dispositivi elettronici o informatici:
1. Cifratura di singoli file o gruppi di file, di volta in volta
protetti con parole-chiave riservate, note al solo utente proprietario
dei dati, che puo' con queste procedere alla successiva decifratura.
Questa modalita' richiede l'applicazione della procedura di cifratura
ogni volta che sia necessario proteggere un dato o una porzione di dati
(file o collezioni di file), e comporta la necessita' per l'utente di
tenere traccia separatamente delle parole-chiave utilizzate;
2. Memorizzazione dei dati sui dischi rigidi (hard-disk) dei personal
computer o su altro genere di supporto magnetico od ottico (cd-rom,
dvd-r) in forma automaticamente cifrata al momento della loro scrittura,
tramite l'uso di parole-chiave riservate note al solo utente. Puo'
effettuarsi su interi volumi di dati registrati su uno o piu'
dispositivi di tipo disco rigido o su porzioni di essi (partizioni,
drive logici, file-system) realizzando le funzionalita' di un c.d.
file-system crittografico (disponibili sui principali sistemi operativi
per elaboratori elettronici, anche di tipo personal computer, e
dispositivi elettronici) in grado di proteggere, con un'unica
parola-chiave riservata, contro i rischi di acquisizione indebita delle
informazioni registrate. L'unica parola-chiave di volume verra'
automaticamente utilizzata per le operazioni di cifratura e decifratura,
senza modificare in alcun modo il comportamento e l'uso dei programmi
software con cui i dati vengono trattati.
Misure tecniche per la cancellazione sicura dei dati, applicabili a
dispositivi elettronici o informatici:
3. Cancellazione sicura delle informazioni, ottenibile con programmi
informatici (quali wiping program o file shredder) che provvedono, una
volta che l'utente abbia eliminato dei file da un'unita' disco o da
analoghi supporti di memorizzazione con i normali strumenti previsti dai
diversi sistemi operativi, a scrivere ripetutamente nelle aree vuote del
disco (precedentemente occupate dalle informazioni eliminate) sequenze
casuali di cifre «binarie» (zero e uno) in modo da ridurre al minimo le
probabilita' di recupero di informazioni anche tramite strumenti
elettronici di analisi e recupero di dati. Il numero di ripetizioni del
procedimento considerato sufficiente a raggiungere una ragionevole
sicurezza (da rapportarsi alla delicatezza o all'importanza delle
informazioni di cui si vuole impedire l'indebita acquisizione) varia da
sette a trentacinque e incide proporzionalmente sui tempi di
applicazione delle procedure, che su dischi rigidi ad alta capacita'
(oltre i 100 gigabyte) possono impiegare diverse ore o alcuni giorni), a
secondo della velocita' del computer utilizzato.
4. Formattazione «a basso livello» dei dispositivi di tipo hard disk (low-level
formatting-LLF), laddove effettuabile, attenendosi alle istruzioni
fornite dal produttore del dispositivo e tenendo conto delle possibili
conseguenze tecniche su di esso, fino alla possibile sua successiva
inutilizzabilita';
5. Demagnetizzazione (degaussing) dei dispositivi di memoria basati su
supporti magnetici o magneto-ottici (dischi rigidi, floppy-disk, nastri
magnetici su bobine aperte o in cassette), in grado di garantire la
cancellazione rapida delle informazioni anche su dispositivi non piu'
funzionanti ai quali potrebbero non essere applicabili le procedure di
cancellazione software (che richiedono l'accessibilita' del dispositivo
da parte del sistema a cui e' interconnesso).
Allegato B)
SMALTIMENTO DI RIFIUTI ELETTRICI ED ELETTRONICI
In caso di smaltimento di rifiuti elettrici ed
elettronici, l'effettiva cancellazione dei dati personali dai supporti
contenuti nelle apparecchiature elettriche ed elettroniche puo' anche
risultare da procedure che, nel rispetto delle normative di settore,
comportino la distruzione dei supporti di memorizzazione di tipo ottico
o magneto-ottico in modo da impedire l'acquisizione indebita di dati
personali.
La distruzione dei supporti prevede il ricorso a procedure o strumenti
diversi a secondo del loro tipo, quali: sistemi di punzonatura o
deformazione meccanica; distruzione fisica o di disintegrazione (usata
per i supporti ottici come i cd-rom e i dvd); demagnetizzazione ad alta
intensita'.