Tratto dallo speciale:

Smaltimento RAEE: sicurezza dati senza regole

di Anna Fabi

16 Settembre 2015 11:26

Lo smaltimento non corretto dei RAEE può portare alla perdita e furto di dati personali: analisi della legislazione in materia, lacune normative e linee guida operative*.

Stare al passo con la tecnologia implica un frequente ricambio di terminali informatici e dispositivi elettronici. Ciò comporta che in caso di smaltimento inadeguato c’è il rischio di incontrollata perdita dei dati personali contenuti nei RAEE (rifiuti apparecchiature elettriche ed elettroniche). Un rischio che può trasformarsi in furto di identità. Si tratta di un problema serio ed un rischio che si sta allargando in modo esponenziale, anche alla luce del diffondersi dell’Internet of Things.

=>RAEE: tutti gli obblighi per le imprese

Il tema e-waste, in questa ottica va ben oltre le implicazioni ambientali, considerato anche che lo scorso anno le imprese italiane che hanno smaltito correttamente solo il 25% dei RAEE. Di fatto, neanche il dlgs. n. 49 del 14 marzo 2014, di attuazione della direttiva 2012/19/UE (disciplina del ciclo dei rifiuti) prende in considerazione i dati presenti nelle macchine dismesse, sebbene il Garante  Privacy, con un proprio parere del 13 ottobre 2008, precisa che ogni titolare del trattamento:

«è tenuto ad adottare appropriate misure organizzative e tecniche volte a garantire la sicurezza dei dati personali trattati, nonché la loro protezione nei confronti di accessi non autorizzati, che possono verificarsi in occasione della dismissione dei menzionati apparati elettrici ed elettronici».

Quindi, in occasione della dismissione o riciclo di RAEE si deve procedere all’effettiva cancellazione o trasformazione in forma non intelligibile dei dati personali negli stessi eventualmente memorizzati; nel caso in cui l’imprenditore faccia ricorso a soggetti terzi per lo smaltimento di tale materiale, questi ultimi si devono impegnare a porre in essere tali attività di cancellazione o trasformazione. Tuttavia, poiché i produttori, distributori e centri di assistenza di apparecchiature elettriche ed elettroniche non risultano soggetti a specifici obblighi di distruzione dei dati personali ivi contenuti, sarà onere di chi smaltisce il RAEE di assicurarsi che detti soggetti si impegnino alla corretta eliminazione dei dati.

=Rifiuti elettronici: i punti deboli della gestione RAEE in Italia

La non corretta gestione ed eliminazione dei dati deve intendersi come un comportamento violativo delle prescrizioni in materia di misure minime di sicurezza. Con il rischio di rilevanti sanzioni tanto a livello civile (se le misure da adottare si considerassero soltanto di carattere idoneo) quanto penale (qualora si protendesse per l’inquadramento nelle misure minime di sicurezza). Nel medesimo provvedimento l’Autorità ha anche ritenuto opportuno suggerire l’adozione di una serie di misure tecniche (anche in combinazione tra loro) per le macchine reimpiegate, riciclate e smaltite; suggerimenti forse datati ma che segnano linee guida utili:

  • memorizzazione sicura dei dati (per esempio cifratura dati);
  • cancellazione sicura (per esempio formattazione a basso livello o demagnetizzazione);
  • smaltimento corretto (per esempio distruzione dei supporti ottici).

=> Bilanciare privacy e sicurezza: consigli per le aziende

Già nel 2009 il Garante Europeo evidenziava il sostanziale fallimento dei provvedimenti adottati dalle Autorità nazionali (come quello richiamato) sottolineando la necessità di un coordinamento tra normativa Privacy e RAEE. Nel 2010 ha espresso formalmente il proprio parere in merito ricordando i rischi a carico dei singoli individui e/o organizzazioni nella loro funzione di responsabili del trattamento nel caso in cui i RAEE, in particolar modo le apparecchiature informatiche e di telecomunicazione, contengano dati personali al momento dello smaltimento. L’Autorità ha sottolineato che:

«Il nuovo quadro giuridico sui rifiuti elettrici ed elettronici dovrebbe contenere non soltanto una disposizione specifica relativa al più ampio principio della progettazione ecocompatibile delle apparecchiature, bensì anche una disposizione riguardante il principio della «Tutela della vita privata fin dalla fase di progettazione» o, più esattamente in questo contesto, della “Sicurezza sin dalla progettazione”».

Dalla lettura della direttiva europea e dal d.lgs. n. 49 del 2014 si deve concludere che la posizione del Garante è rimasta ancora una volta inascoltata. Sul punto va anche sottolineato che la recentissima normativa in materia di RAEE non fa alcun riferimento a tali problematiche, né pare che la Bozza di Regolamento Generale per la Protezione dei Dati (attualmente al vaglio della Commissione Europea) preveda alcunché, mentre potrebbe essere l’occasione per affrontare e risolvere, per quanto possibile, i problemi posti dall’e-waste.

__________

Avv. Emiliano Vitelli