Page 2

2 NUMERO 188 - MARZO /APRILE 2009

IL COMMERCIALISTA VENETO

NORME E TRIBUTI

ADRIANO CANCELLARI

Ordine di Vicenza

Ormailavitautilediunpersonalcomputerè

sempre più breve: due, tre anni e non di più.

Ma non tanto perché ad un certo punto lo

strumento elettronico smetta di funzionare, ma per-

ché dopo un paio d'anni diventa già obsoleto ed inca-

pace di contenere e far girare alla debita velocità tutti i

programmi ed i dati di cui abbiamo bisogno per la

nostra attività. Ormai, con quello che costano adesso i

computer, ci diciamo, tanto vale comprarne uno nuo-

vo...

Però, visto che è sempre uno strumento elettronico

funzionante, non ce la sentiamo di buttarlo in discari-

ca, ma lo consegniamo al rivenditore dove abbiamo

comprato l'ultimo ritrovato della tecnica, lo diamo ai

nostri figli o, per sentirci meglio con la nostra coscien-

za, lo regaliamo a qualche associazione benefica. A

volte ci ricordiamo di cancellare i dati in esso contenuti

e a volte ce ne dimentichiamo.

Se invece il p.c. è scoppiato, o non dà più segni di vita,

non ci pensiamo su due volte e, così com'é, lo portia-

mo dallo smaltitore più vicino (e non certo in discari-

che abusive, giusto?)

Fin qui nulla di male, anzi: ma siamo sicuri che possia-

mo dormire sempre sonni tranquilli dopo esserci libe-

rati di questo vecchio p.c.?

Poniamoci altre domande: cosa facciamo dei nostri

supporti informatici, dei nostri cd, dei nostri dvd, una

volta che non ci servono più? Probabilmente li buttia-

mo direttamente nel cestino delle immondizie. E se

perdiamo una chiavetta usb, qual è la nostra preoccu-

pazione principale? Comprarne o utilizzarne subito

un'altra: non è così?

Anche in questo caso, possiamo restare totalmente

sereni?

Probabilmente non vi saranno sfuggite le recenti noti-

zie di stampa sul rinvenimento, da parte dell'acqui-

rente di un disco rigido usato e commercializzato at-

traverso un sito Internet, di dati bancari relativi a oltre

un milione di individui contenuti nel disco medesimo.

Sempre più frequenti sono i casi in cui si segnala il

ritrovamento di dati personali all'interno di apparec-

chi elettronici (compresi i telefonini), non solo nei casi

in cui essi siano ceduti ad un rivenditore per la

dismissione o la rivendita, ma anche quando siano dati

in consegna per riparazioni o sostituzione di compo-

nenti.

Ognititolaredeltrattamento,allalucedelledi

sposizioni previste dal Codice Privacy, do-

vrebbe sapere che:

- deve adottare appropriate misure organizzative e

tecniche volte a garantire la sicurezza dei dati persona-

li trattati e la loro protezione nei confronti di accessi

non autorizzati (artt. 31 ss. del Codice);

- i produttori, i distributori ed i centri di assistenza di

apparecchiature elettriche ed elettroniche non risulta-

no essere soggetti a specifici obblighi di distruzione

dei dati personali eventualmente memorizzati nelle

apparecchiature elettriche ed elettroniche ad essi con-

segnate per lo smaltimento o la successiva vendita;

- dall'inosservanza delle misure di sicurezza può deri-

vare in capo al titolare del trattamento una responsabi-

lità penale (art. 169 del Codice) e, in caso di danni

cagionati a terzi, una responsabilità civile (artt. 15 del

Codice Privacy e 2050 codice civile);

- le misure da adottare in occasione della dismissione

di componenti elettrici ed elettronici suscettibili di

memorizzare dati personali devono consistere nell'ef-

fettiva cancellazione o trasformazione in forma non

intelligibile dei dati personali negli stessi contenute,

tali da impedire a soggetti non autorizzati che abbiano

a vario titolo la disponibilità materiale dei supporti di

venirne a conoscenza non avendone diritto (si pensi,

ad esempio, ai dati personali memorizzati sul disco

rigido dei personal computer o nelle cartelle di posta

elettronica, oppure custoditi nelle agende elettroni-

che);

- tali misure risultano già inserite nelle misure minime

di sicurezza per i trattamenti di dati sensibili o

giudiziari, ai sensi dei punti n. 21 e n. 22 del disciplina-

re tecnico, disciplinanti la custodia e l'uso dei suppor-

ti rimovibili sui quali sono memorizzati i dati, che

vincolano il riutilizzo dei supporti alla cancellazione

effettiva dei dati o alla loro trasformazione in forma

non intelligibile;

Per evitare il ripetersi di comportamenti apparente-

mente innocenti, ma potenzialmente pericolosi, il

Garante ha messo a punto una serie di indicazioni per

evitare che, al momento di dismettere apparecchiature

elettriche ed elettroniche (anzitutto pc, ma anche tele-

foni cellulari, cd rom o dvd), rimangano in memoria

nomi, indirizzi mail, rubriche telefoniche, foto, filma-

ti, numeri di conti bancari, dati personali in generale,

anche di tipo sensibile, come quelli sanitari, riferiti

non solo all'utilizzatore, ma anche, come nel nostro

caso, a terzi.

LemisuresuggeritedalGaranteperuna

"rottamazione" sicura di pc e dispositivi elet-

tronici

(provvedimento

"Rifiuti

apparecchiature elettriche ed elettroniche (Raae) e

misure di sicurezza dei dati personali " del 13 otto-

bre 2008, pubblicata in G.U. n. 287 del 9 dicembre

2008) hanno dunque l'obiettivo di richiamare tutti gli

utilizzatori sulla necessità di assicurare una reale ed

effettiva cancellazione dei dati o venga garantita la loro

non intelligibilità. Le misure possono essere adottate

sia nel momento preliminare della memorizzazione

dei dati, sia in quello successivo della loro distruzione.

Il Garante, quindi, ha richiamato "l'attenzione di per-

sone giuridiche, pubbliche amministrazioni, altri enti

e persone fisiche che, avendone fatto uso nello svolgi-

mento delle proprie attività, in particolare quelle indu-

striali, commerciali, professionali o istituzionali, non

distruggono, ma dismettono supporti che contengono

dati personali, sulla necessità di adottare idonei ac-

corgimenti e misure, anche con l'ausilio di terzi tecni-

camente qualificati, volti a prevenire accessi non con-

sentiti ai dati personali memorizzati nelle

apparecchiature elettriche ed elettroniche destinate a

essere:

a. reimpiegate o riciclate (Allegato A);

b. smaltite, (Allegato B)"

Vediamooraneldettagliocosaraccomandail

Garante.

Allegato A) - Reimpiego e riciclaggio di rifiuti

di apparecchiature elettriche ed elettroniche

In caso di reimpiego e riciclaggio (consegne a rivendi-

tori, donazioni a parenti, amici od Onlus, ma, atten-

zione, anche consegna a terzi per riparazioni) di

apparecchiature elettriche ed elettroniche, bisogna ef-

fettuare la preventiva ed effettiva cancellazione dei

dati in essi archiviati o garantire la loro non intelligibi-

lità. Per fare ciò, bisogna adottare, in alternativa, ma

anche in combinazione tra loro, le seguenti misure:

Misure tecniche preventive per la memorizzazione

sicura dei dati

Cifratura di singoli file o gruppi di file, di volta

in volta protetti con parole-chiave riservate, note al

solo utente proprietario dei dati, che può con queste

procedere alla successiva decifratura.

Memorizzazione dei dati sui dischi rigidi

(hard-disk) dei personal computer o su altro genere di

supporto magnetico od ottico (cd-rom, dvd-r) in for-

ma automaticamente cifrata al momento della loro scrit-

tura, tramite l'uso di parole-chiave riservate note al

solo utente.

Misure tecniche per la cancellazione sicura dei dati,

applicabili a dispositivi elettronici o informatici

Cancellazione sicura delle informazioni, ottenibile

con programmi informatici (quali wiping program o file

shredder) che provvedono, una volta che l'utente abbia

eliminato dei file da un'unità disco o da analoghi supporti di

memorizzazione con i normali strumenti previsti dai diversi

sistemi operativi, a scrivere ripetutamente nelle aree vuote

del disco (precedentemente occupate dalle informazioni eli-

minate) sequenze casuali di cifre "binarie" (zero e uno) in

modo da ridurre al minimo le probabilità di recupero di

informazioni anche tramite strumenti elettronici di analisi e

recupero di dati.

Formattazione degli hard disk, attenendosi alle

istruzioni fornite dal produttore del dispositivo e te-

nendo conto delle possibili conseguenze tecniche su di

esso, fino alla possibile sua successiva inutilizzabilità;

Demagnetizzazione dei dispositivi di memo-

ria basati su supporti magnetici o magneto-ottici (di-

schi rigidi, floppy-disk, nastri magnetici su bobine aperte

o in cassette), in grado di garantire la cancellazione

rapida delle informazioni anche su dispositivi non più

funzionanti.

E' doveroso fare un piccolo inciso nel caso in cui il

l'apparecchiatura venga consegnata a soggetti terzi per

una riparazione od una manutenzione. Se il riparatore

- manutentore venisse nominato dal titolare quale "re-

sponsabile del trattamento", nel caso in cui i dati con-

tenuti nel pc fossero divulgati a soggetti non autoriz-

zati, parte della responsabilità verrebbe attribuita al

riparatore - manutentore, con una mitigazione di pene

per il titolare. Non bisogna comunque dimenticare che

quest'ultimo sarebbe sempre responsabile "in culpa

eligendo" e "in culpa vigilando", per aver nominato

un soggetto non idoneo.

Allegato B) - Smaltimento di rifiuti elettrici ed

elettronici

Per la distruzione degli hard disk e di supporti magne-

tici non riscrivibili, come cd rom e dvd, è consigliabile

l'utilizzo di sistemi di punzonatura o deformazione

meccanica o di demagnetizzazione ad alta intensità o

di vera e propria distruzione fisica.

Le disposizioni sullo smaltimento non presentano

molte difficoltà, perché chiunque di noi è in grado di

distruggere fisicamente i cd ed i dvd: anche se non

abbiamo gli strumenti per effettuare la punzonatura,

sicuramente abbiamo un po' di forza per metterli fuori

uso piegandoli o tagliandoli. Probabilmente un po' più

complicata si potrebbe presentare per noi la distru-

zione degli hard disk.

Invece le indicazioni di questo provvedimento non

sembrano molto semplici in caso di successivo reimpiego

da parte di terzi dei nostri computer. Per fortuna il

Garante comunque ricorda che tali misure e accorgi-

menti possono essere attuati "anche con l'ausilio o

conferendo incarico a terzi tecnicamente qualificati, quali

centri di assistenza, produttori e distributori di

apparecchiature che attestino l'esecuzione delle opera-

zioni effettuate o che si impegnino ad effettuarle."

Come abbiamo visto sopra, non è quindi una cosa così

banale disfarsi dei nostri pc e dei nostri supporti elet-

tronici. Il problema non è più solamente ambientale:

adesso abbiamo un altro motivo in più per preoccu-

parci. Ne avevamo proprio bisogno...

Privacy e spazzatura elettronica