PROVVEDIMENTO 13 ottobre 2008 - Rifiuti di apparecchiature elettriche ed elettroniche (Raee) e misure di sicurezza dei dati personali.

IL GARANTE PER LA PROTEZIONE

DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Visti gli atti d'ufficio relativi alla problematica del rinvenimento di dati personali all'interno di apparecchiature elettriche ed elettroniche cedute a un rivenditore per la dismissione o la vendita o a seguito di riparazioni e sostituzioni;

Viste, altresi', le recenti notizie di stampa in ordine al rinvenimento da parte dell'acquirente di un disco rigido usato, commercializzato attraverso un sito Internet, di dati bancari relativi a oltre un milione di individui contenuti nel disco medesimo;

Visto il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), con particolare riferimento agli articoli 31 e seguenti e 154, comma 1, lettera h), nonche' alle regole 21 e 22 del disciplinare tecnico in materia di misure minime di sicurezza allegato «B» al Codice;

Visto il decreto legislativo 25 luglio 2005, n. 151 (Attuazione delle direttive 2002/95/Ce, 2002/96/Ce e 2003/108/Ce, relative alla riduzione dell'uso di sostanze pericolose nelle apparecchiature elettriche ed elettroniche, nonche' allo smaltimento dei rifiuti), che prevede misure e procedure finalizzate a prevenire la produzione di rifiuti di apparecchiature elettriche e elettroniche, nonche' a promuovere il reimpiego, il riciclaggio e altre forme di recupero di tali rifiuti in modo da ridurne la quantita' da avviare allo smaltimento (cfr. art. 1, comma 1, lettere a) e b);

Considerato che l'applicazione della disciplina contenuta nel menzionato decreto legislativo n. 151/2005, mirando (tra l'altro) a privilegiare il recupero di componenti provenienti da rifiuti di apparecchiature elettriche ed elettroniche (Raee), anche nella forma del loro reimpiego o del riciclaggio in beni oggetto di (nuova) commercializzazione (cfr. in particolare articoli 1 e 3, comma 1, lettere e) ed f), decreto legislativo n. 151/2005), comporta un rischio elevato di «circolazione» di componenti elettroniche «usate» contenenti dati personali, anche sensibili, che non siano stati cancellati in modo idoneo, e di conseguente accesso ad essi da parte di terzi non autorizzati (quali, ad esempio, coloro che provvedono alle predette operazioni propedeutiche al riutilizzo o che acquistano le apparecchiature sopra indicate);

Considerato che il «reimpiego» consiste nelle operazioni che consentono l'utilizzo dei rifiuti elettrici ed elettronici o di loro componenti «allo stesso scopo per il quale le apparecchiature erano state originariamente concepite, compresa l'utilizzazione di dette apparecchiature o di loro componenti successivamente alla loro consegna presso i centri di raccolta, ai distributori, ai riciclatori o ai fabbricanti» (art. 3, comma 1, lettera e), decreto legislativo n. 151/2005) e il «riciclaggio» consiste nel «ritrattamento in un processo produttivo dei materiali di rifiuto per la loro funzione originaria o per altri fini» (art. 3, comma 1, lettera e), decreto legislativo n. 151/2005);

Considerato che rischi di accessi non autorizzati ai dati memorizzati sussistono anche in relazione a rifiuti di apparecchiature elettriche ed elettroniche avviati allo smaltimento (art. 3, comma 1, lettera i), decreto legislativo n. 151/2005);

Rilevata la necessita' di richiamare l'attenzione su tali rischi di persone giuridiche, pubbliche amministrazioni, altri enti e persone fisiche che, avendone fatto uso nello svolgimento delle...