Menu

La Gestione dei Rifiuti Elettronici

La Gestione dei Rifiuti Elettronici

Alla fine del suo ciclo di vita un pc o un’altra apparecchiatura che contiene dati può subire destini diversi. In questo articolo cerchiamo di capire come ci si deve comportare per la salvaguardia delle informazioni aziendali e per il rispetto delle normative.

Il fine vita di un Asset che contenga dati ed in particolare dati personali, è regolamentato da specifiche norme, con particolare riferimento all’onnipresente Dlgs 196/03 ed allo specifico provvedimento del Garante per la protezione dei dati personali del 13 ottobre 2008 Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali. Tale provvedimento individua diversi possibili destini per il fine ciclo di un Asset, distinguendo correttamente i casi nei quali sia previsto un reimpiego/riciclaggio da quelli nei quali sia previsto invece uno smaltimento degli stessi.

Prima di addentrarci nel dettaglio è però necessario fare alcune considerazioni.

La prima è che il provvedimento riguarda i dati personali, ma le aziende hanno anche altri dati da tutelare; ad esempio informazioni commerciali, progetti ed altre dati relativi a persone giuridiche (e quindi non più tutelate dalla normativa privacy), la configurazione stessa di un apparato o altre informazioni che devono essere considerate riservate.

La seconda riguarda l’individuazione degli Asset che possono contenere i dati che è opportuno non siano resi disponibili a terzi.

E’ facile intuire che fra questi ci siano Server e PC; più difficile immaginare che anche alcune stampanti, fotocopiatrici o multifunzioni dispongano al loro interno di dischi fissi sui quali sono registrati dati.

L’individuazione di quali siano gli Asset per i quali applicare la normativa in vigore non può quindi considerarsi così scontata; per alcune categorie di Asset è necessario procedere alla valutazione del singolo modello.

Un’azienda che desideri gestire in modo corretto gli Asset aziendali, anche dal punto di vista della loro fine, dovrà quindi mappare adeguatamente quelli che possono contenere dati con modalità più dettagliate rispetto al passato.

La continua evoluzione della tecnologia porta inoltre a dover rivedere continuamente i criteri di inclusione di eventuali nuovi Asset (resta fermo in ogni caso quanto affermato in precedenza circa il valore di alcune tipologie di dati di natura prettamente tecnica).

Oltre ai supporti presenti nei vari Asset (non va dimenticato che i dati sono di norma archiviati su dei dischi fissi o su memorie allo stato solido), vanno considerati anche i supporti rimuovibili, quali i supporti ottici, magnetici e magneto/ottici, le memory card utilizzate nei più svariati dispositivi portatili, le chiavette USB...

Reimpiego e Riciclaggio dei rifiuti elettronici

La normativa distingue, come accennato in precedenza, questa fattispecie dallo smaltimento.

Al riguardo prevede due diverse possibili soluzioni, la cui finalità è identica: rendere non disponibili o non leggibili i dati presenti sugli asset.

  1. Per rendere non leggibili i dati sono previste tecniche di cifratura, che possono riguardare i singoli file o un intero supporto.
  2. Per rendere non più disponibili i dati sono previste tecniche di cancellazione.

Queste possono prevedere sia un intervento di sovrascrittura o formattazione a basso livello, sia una smagnetizzazione del supporto (la normativa chiarisce che tale pratica è l’unica praticabile su dispositivi non più funzionanti, anche se difficilmente, proprio in quanto tali, questi dispositivi possano essere oggetto di reimpiego).

L’attività di reimpiego e riciclaggio può avvenire sia nel caso in cui gli Asset siano ceduti a terzi (in forma onerosa o gratuita), sia quando siano ceduti ad un altro titolare all’interno di uno stesso Gruppo. Questo secondo aspetto potrebbe non essere così evidente.

Lo smaltimento

L’attività di smaltimento comporta di fatto la distruzione dell’Asset, o quantomeno dei supporti.
La normativa prevede l’uso delle seguenti tecniche:

• sistemi di punzonatura o deformazione meccanica;
• distruzione fisica o di disintegrazione (usata per i supporti ottici come i cd-rom e i dvd);
• smagnetizzazione ad alta intensità.

Cosa prendere in considerazione

Come descritto in precedenza possono esserci situazioni nelle quali non appare così evidente quando un asset possa contenere dati personali.

Analogamente non appare così chiaro in che occasioni possono aver luogo le attività di reimpiego o smaltimento. Se infatti può apparire ovvio che tali fattispecie si verifichino alla fine del ciclo di vita di un Asset all’interno dell’azienda, non così evidente è il fatto che anche durante le normali operazioni di manutenzione può verificarsi una situazione di questo tipo. Potrebbe pertanto rendersi necessaria la sostituzione di un disco fisso guasto, nel qual caso è necessario procedere secondo le previsioni descritte in precedenza.

Di norma però i contratti di manutenzione non prevedono espresse clausole in tal senso. 

Sarebbe pertanto opportuno che in tali situazioni l’azienda imponesse al manutentore di lasciare il disco sostituito presso l’azienda stessa.

Tuttavia vi sono diverse situazione nelle quali l’apparato oggetto di manutenzione non è di proprietà dell’azienda utilizzatrice, ma viene fornito in comodato d’uso.

In questo caso essendo il bene di proprietà di chi esegue la manutenzione può risultare difficile ottenere quanto prima descritto; è allora necessario prevedere contrattualmente che l’azienda proprietaria del supporto proceda essa stessa a dare pieno adempimento della normativa e proceda alla distruzione del supporto o alla totale cancellazione dei dati prima del suo eventuale reimpiego. Non va infatti confusa quella che è la proprietà dei beni, da quella che è la proprietà dei dati e di chi risponde in conseguenza di una loro presa visione da parte di terzi.

Ulteriore situazione riguarda il fatto che i dati dell’azienda siano presenti su dispositivi di terzi ospitati ad esempio nei data center di questi ultimi.

L’aspetto di come siano gestiti i dati sui supporti guasti (e pertanto sostituiti) all’interno di questi data center non sono di solito esplicitati nei vari contratti di acquisizione del servizio.

L’azienda cliente, Titolare del trattamento dei dati, si trova pertanto scoperta rispetto a questo importante aspetto e non può che rifarsi alle generiche clausole contrattuali relative alla riservatezza dei dati.

L’uso di servizi Cloud rende ancora più difficile presidiare adeguatamente tale aspetto.

Sempre in merito alla necessità di procedere ad un adeguato smaltimento o reimpiego dei supporti, va evidenziato che tale procedimento deve essere messo in atto non solo nel caso in cui i dati presenti siano completamente leggibili, ma anche allorquando singole porzioni degli stessi lo siano (ad esempio in quanto il disco da sostituire è in RAID).

La non leggibilità dei dati deve essere completa per soddisfare le condizioni di reimpiego previste dal provvedimento.

Se l’azienda non è in grado di provvedere in autonomia allo svolgimento di questo tipo di operazioni, può rivolgersi ad aziende specializzate.

Il provvedimento del Garante prevede espressamente tale fattispecie: "conferendo incarico a terzi tecnicamente qualificati, quali centri di assistenza, produttori e distributori di apparecchiature che attestino l'esecuzione delle operazioni effettuate o che si impegnino ad effettuarle."

In questo caso si pone il problema di come avere evidenza del corretto adempimento degli adempimenti contrattuali; è opportuno quindi in fase do trattativa con il fornitore, chiedere espressamente come lo stesso soddisferà questo requisito.

Ultima modifica ilDomenica, 19 Gennaio 2014 18:24

Aggiungi commento


Codice di sicurezza
Aggiorna

Torna in alto