Sicurezza e smaltimento dei RAEE
Lo smaltimento dei rifiuti elettrici ed elettronici non è più soltanto una questione ambientale ma anche e un problema di gestione di dati
Smaltire correttamente i prodotti tecnologici è una questione che sta investendo in maniera sempre più evidente la corretta gestione delle informazioni. Il ricambio sempre più rapido degli strumenti informatici porta ad un rischio incontrollato si perdita e dispersione di dati. Un rischio che può arrivare a concretizzarsi in eventi molto dannosi quali il furto di identità.
Il tema dello smaltimento e riciclaggio di questo tipo di rifiuti (detti anche e-waste) è sempre stata incentrato nell’ottica dell’inquinamento: profilo che, tra l’altro, in Italia stenta a trovare spazio se si considera che nel 2014 le imprese che hanno smaltito correttamente i rifiuti elettronici sono ferme al 25%.
Già nel 2008, il Garante Privacy aveva chiarito che ogni titolare del trattamento, in considerazione del rischio elevato di circolazione di componenti elettroniche contenenti dati personali che non siano stati cancellati in modo idoneo, "è tenuto ad adottare appropriate misure organizzative e tecniche volte a garantire la sicurezza dei dati personali trattati, nonché la loro protezione nei confronti di accessi non autorizzati, che possono verificarsi in occasione della dismissione dei menzionati apparati elettrici ed elettronici". Misure che rientrano in quelle "minime" la cui mancata osservanza comporta conseguenze di carattere penale.
Sul punto tuttavia, poiché i produttori, distributori e centri di assistenza di apparecchiature elettriche ed elettroniche non risultano essere soggetti, in base alla particolare disciplina di settore, a specifici obblighi di distruzione dei dati personali eventualmente memorizzati nelle apparecchiature elettriche ed elettroniche a essi consegnate, sarà onere di colui che smaltisce il RAEE di assicurarsi che detti soggetti si impegnino alla corretta eliminazione dei dati.
Sul punto, sin troppo facile è poi rilevare che il diffondersi dell’Internet of Things renderà tale problematica ancora più evidente.
Proprio per tale ragione il Garante Privacy aveva suggerito alcuni accorgimenti per le imprese che consistevano:
1) in misure tecniche preventive per la memorizzazione sicura dei dati, applicabili a dispositivi elettronici o informatici (per esempio: l’utilizzo della cifratura dei dati);
2) in misure tecniche per la cancellazione sicura dei dati, applicabili a dispositivi elettronici o informatici (per esempio: formattazione "a basso livello" dei dispositivi di tipo hard disk o quando possibile demagnetizzazione dei dispositivi di memoria);
3) in misure specifiche per lo smaltimento di rifiuti elettrici ed elettronici (per esempio: la distruzione dei supporti di memorizzazione di tipo ottico o magneto-ottico).
Tuttavia nel 2009 il Garante Europeo aveva espressamente parlato di sostanziale fallimento dei provvedimenti adottati dalle Autorità nazionali (come quello del 2008 sopra richiamato) e della necessità di un coordinamento tra la normativa privacy e quella in materia di RAEE.
Nel 2010 l’Autorità Europea, in occasione della nuova direttiva ambientale sui rifiuti elettronici, è tornata a ribadire il medesimo concetto.
L’Autorità Europea a quindi sottolineato che: "Il nuovo quadro giuridico sui rifiuti elettrici ed elettronici dovrebbe contenere non soltanto una disposizione specifica relativa al più ampio principio della progettazione ecocompatibile delle apparecchiature, bensì anche una disposizione riguardante il principio della «Tutela della vita privata fin dalla fase di progettazione» o, più esattamente in questo contesto, della «Sicurezza sin dalla progettazione»".
Dalla lettura della direttiva europea e dal d.lgs. n. 49 del 2014 di recepimento, si deve concludere che la posizione dell’ Garante è rimasta, ancora una volta, del tutto inascoltata.
Sul punto tuttavia va anche sottolineato che sebbene la recentissima normativa in materia di RAEE non faccia alcun riferimento a tali problematiche, tuttavia non pare che la Bozza di Regolamento Generale per la Protezione dei Dati (attualmente al vaglio della Commissione Europea) preveda alcunché, mentre potrebbe essere l’occasione per affrontare e risolvere, per quanto possibile, i problemi posti dall’e-waste.
Nonostante ciò si ritiene che questo sia una questione che le imprese dovranno necessariamente risolvere in modo da poter dimettere e rinnovare i proprio strumenti informatici senza il timore di disperdere propri dati ed informazioni anche molto rilevanti.
Il tema dello smaltimento e riciclaggio di questo tipo di rifiuti (detti anche e-waste) è sempre stata incentrato nell’ottica dell’inquinamento: profilo che, tra l’altro, in Italia stenta a trovare spazio se si considera che nel 2014 le imprese che hanno smaltito correttamente i rifiuti elettronici sono ferme al 25%.
Già nel 2008, il Garante Privacy aveva chiarito che ogni titolare del trattamento, in considerazione del rischio elevato di circolazione di componenti elettroniche contenenti dati personali che non siano stati cancellati in modo idoneo, "è tenuto ad adottare appropriate misure organizzative e tecniche volte a garantire la sicurezza dei dati personali trattati, nonché la loro protezione nei confronti di accessi non autorizzati, che possono verificarsi in occasione della dismissione dei menzionati apparati elettrici ed elettronici". Misure che rientrano in quelle "minime" la cui mancata osservanza comporta conseguenze di carattere penale.
Sul punto tuttavia, poiché i produttori, distributori e centri di assistenza di apparecchiature elettriche ed elettroniche non risultano essere soggetti, in base alla particolare disciplina di settore, a specifici obblighi di distruzione dei dati personali eventualmente memorizzati nelle apparecchiature elettriche ed elettroniche a essi consegnate, sarà onere di colui che smaltisce il RAEE di assicurarsi che detti soggetti si impegnino alla corretta eliminazione dei dati.
Sul punto, sin troppo facile è poi rilevare che il diffondersi dell’Internet of Things renderà tale problematica ancora più evidente.
Proprio per tale ragione il Garante Privacy aveva suggerito alcuni accorgimenti per le imprese che consistevano:
1) in misure tecniche preventive per la memorizzazione sicura dei dati, applicabili a dispositivi elettronici o informatici (per esempio: l’utilizzo della cifratura dei dati);
2) in misure tecniche per la cancellazione sicura dei dati, applicabili a dispositivi elettronici o informatici (per esempio: formattazione "a basso livello" dei dispositivi di tipo hard disk o quando possibile demagnetizzazione dei dispositivi di memoria);
3) in misure specifiche per lo smaltimento di rifiuti elettrici ed elettronici (per esempio: la distruzione dei supporti di memorizzazione di tipo ottico o magneto-ottico).
Tuttavia nel 2009 il Garante Europeo aveva espressamente parlato di sostanziale fallimento dei provvedimenti adottati dalle Autorità nazionali (come quello del 2008 sopra richiamato) e della necessità di un coordinamento tra la normativa privacy e quella in materia di RAEE.
Nel 2010 l’Autorità Europea, in occasione della nuova direttiva ambientale sui rifiuti elettronici, è tornata a ribadire il medesimo concetto.
L’Autorità Europea a quindi sottolineato che: "Il nuovo quadro giuridico sui rifiuti elettrici ed elettronici dovrebbe contenere non soltanto una disposizione specifica relativa al più ampio principio della progettazione ecocompatibile delle apparecchiature, bensì anche una disposizione riguardante il principio della «Tutela della vita privata fin dalla fase di progettazione» o, più esattamente in questo contesto, della «Sicurezza sin dalla progettazione»".
Dalla lettura della direttiva europea e dal d.lgs. n. 49 del 2014 di recepimento, si deve concludere che la posizione dell’ Garante è rimasta, ancora una volta, del tutto inascoltata.
Sul punto tuttavia va anche sottolineato che sebbene la recentissima normativa in materia di RAEE non faccia alcun riferimento a tali problematiche, tuttavia non pare che la Bozza di Regolamento Generale per la Protezione dei Dati (attualmente al vaglio della Commissione Europea) preveda alcunché, mentre potrebbe essere l’occasione per affrontare e risolvere, per quanto possibile, i problemi posti dall’e-waste.
Nonostante ciò si ritiene che questo sia una questione che le imprese dovranno necessariamente risolvere in modo da poter dimettere e rinnovare i proprio strumenti informatici senza il timore di disperdere propri dati ed informazioni anche molto rilevanti.
Articolo del: