Avv. Giovanni Maglio

Con provvedimento del 13.10.2008, reso noto con comunicato del 05.12.2008, il Garante per la Privacy, dopo una serie di importanti rilievi ed opportune considerazioni, ha richiamato “l’attenzione di persone giuridiche, pubbliche amministrazioni, altri enti e persone fisiche che, avendone fatto uso nello svolgimento delle proprie attività, in particolare quelle industriali, commerciali, professionali o istituzionali, non distruggono, ma dismettono supporti che contengono dati personali, sulla necessità di adottare idonei accorgimenti e misure, anche con l’ausilio di terzi tecnicamente qualificati, volti a prevenire accessi non consentiti ai dati personali memorizzati nelle apparecchiature elettriche ed elettroniche destinate a essere:

a. reimpiegate o riciclate, anche seguendo le procedure di cui all’allegato A);

b. smaltite, anche seguendo le procedure di cui all’allegato B).

Tali misure e accorgimenti possono essere attuate anche con l’ausilio o conferendo incarico a terzi tecnicamente qualificati, quali centri di assistenza, produttori e distributori di apparecchiature che attestino l’esecuzione delle operazioni effettuate o che si impegnino ad effettuarle.

Chi procede al reimpiego o al riciclaggio di rifiuti di apparecchiature elettriche ed elettroniche o di loro componenti è comunque tenuto ad assicurarsi dell’inesistenza o della non intelligibilità di dati personali sui supporti, acquisendo, ove possibile, l’autorizzazione a cancellarli o a renderli non intelligibili”.

Il provvedimento contiene, quindi, due allegati:

l’allegato A) disciplina il “Reimpiego e riciclaggio di rifiuti di apparecchiature elettriche ed elettroniche”, attraverso l’indicazione di “Misure tecniche preventive per la memorizzazione sicura dei dati, applicabili a dispositivi elettronici o informatici” e di “Misure tecniche per la cancellazione sicura dei dati, applicabili a dispositivi elettronici o informatici”;
mentre l’allegato B) disciplina lo “Smaltimento di rifiuti elettrici ed elettronici”, prevedendo che in caso di smaltimento di rifiuti elettrici ed elettronici, l’effettiva cancellazione dei dati personali dai supporti contenuti nelle apparecchiature elettriche ed elettroniche può anche risultare da procedure che, nel rispetto delle normative di settore, comportino la distruzione dei supporti di memorizzazione di tipo ottico o magneto-ottico in modo da impedire l’acquisizione indebita di dati personali.

La distruzione dei supporti prevede il ricorso a procedure o strumenti diversi a secondo del loro tipo, quali:

* sistemi di punzonatura o deformazione meccanica;
* distruzione fisica o di disintegrazione (usata per i supporti ottici come i cd-rom e i dvd);
* demagnetizzazione ad alta intensità.

Tale provvedimento (la cui genesi è rinvenibile nell’art. 31 del D. L.vo 196/03 e negli artt. 21 e 22 del disciplinare tecnico) è di estrema importanza pratica oltre che giuridica, dal momento che la rottamazione o la vendita di un pc usato o di supporti di memorizzazione portatili avviene spesso senza la preventiva cancellazione sicura di tutto il contenuto degli stessi, contenuto che può facilmente essere recuperato anche mediante l’utilizzo di programmi di agevole reperibilità in rete.

Seguire attentamente le indicazioni del Garante ed affidarsi a tecnici specializzati ridurrà al minimo il rischio del titolare del trattamento di incorrere nelle conseguenze derivanti dall’inosservanza delle misure di sicurezza che può comportare responsabilità penale (art. 169 del Codice) e, in caso di danni cagionati a terzi, responsabilità civile (artt. 15 del Codice e 2050 cod. civ.).

Il provvedimento è reperibile qui.