Parere del Garante europeo della protezione dei dati (GEPD) in merito alla proposta di direttiva del Parlamento europeo e del Consiglio sui rifiuti di apparecchiature elettriche ed elettroniche (RAEE)

Parere del Garante europeo della protezione dei dati in merito alla proposta di direttiva del Parlamento europeo e del Consiglio sui rifiuti di apparecchiature elettriche ed elettroniche (RAEE)

(Pubblicato sulla GUUE n. C 280 del 16.10.2010)

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 16,

vista la Carta dei diritti fondamentali dell’Unione europea, in particolare l’articolo 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, in particolare l’articolo 17,

visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati, in particolare l’articolo 41,

HA ADOTTATO IL SEGUENTE PARERE:

I. INTRODUZIONE

1. Il 3 dicembre 2008 la Commissione ha adottato una proposta di direttiva del Parlamento europeo e del Consiglio sui rifiuti di apparecchiature elettriche ed elettroniche (RAEE) (in prosieguo «la proposta») ⁽¹ ⁾. La proposta è finalizzata a rifondere la direttiva 2002/96/CE sui rifiuti di apparecchiature elettriche ed elettroniche (RAEE) adottata il 27 gennaio 2003 (in prosieguo «la direttiva») ⁽² ⁾ senza modificare le cause o le motivazioni alla base della raccolta e del riciclaggio di RAEE.

2. Diversamente da quanto prescritto dall’articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001 ⁽³⁾, il GEPD non è stato consultato. Agendo di propria iniziativa, il GEPD ha quindi adottato l’attuale parere in base all’articolo 41, paragrafo 2, del medesimo regolamento. Il GEPD raccomanda di includere nel preambolo della proposta un riferimento al presente parere.

3. Il GEPD, pur consapevole del fatto che questo documento giunge in una fase tardiva del processo legislativo, ritiene utile e appropriato emettere il presente parere visto che la proposta solleva questioni importanti in materia di protezione dei dati che nel testo non sono state affrontate. Il parere non intende modificare lo scopo e i contenuti principali e preponderanti della proposta, il cui «centro di gravità» ⁽⁴⁾ rimane la protezione dell’ambiente, bensì solo aggiungere un’ulteriore dimensione che sta divenendo sempre più rilevante per la nostra società dell’informazione ⁽⁵⁾.

4. Il GEPD, consapevole altresì della portata limitata della procedura di rifusione, invita nondimeno il legislatore a tener conto di tali raccomandazioni in conformità con il punto 8 dell’accordo interistituzionale sulla procedura di rifusione (che prevede la possibilità di modificare le disposizioni immutate) ⁽⁶ ⁾.

II. CONTESTO E ANTEFATTI DELLA PROPOSTA E SUA RILEVANZA PER LA PROTEZIONE DEI DATI

5. Lo scopo della proposta è aggiornare la direttiva esistente in materia di smaltimento, reimpiego e riciclo dei RAEE. Problemi di carattere tecnico, giuridico e amministrativo emersi nei primi anni di attuazione della direttiva hanno portato alla presentazione della proposta, come previsto dall’articolo 17, paragrafo 5, della direttiva.

6. Per apparecchiature elettriche ed elettroniche (AEE) si intende un’ampia gamma di prodotti che comprende una disparata serie di supporti in grado di contenere dati personali — quali le apparecchiature informatiche e di telecomunicazione (per esempio, personal computer, laptop, terminali per i servizi di comunicazione elettronica) — caratterizzati nell’attuale contesto tecno-economico da sempre più rapidi cicli d’innovazione e, data la convergenza tecnologica, dalla disponibilità di dispositivi multifunzionali. L'evoluzione dei supporti elettronici di memorizzazione è sempre più veloce, in particolare per quanto concerne la capacità di memorizzazione e le dimensioni. Di conseguenza, le forze di mercato fanno crescere in misura analoga il ricambio delle apparecchiature elettriche ed elettroniche (contenenti una grande quantità di dati personali, spesso sensibili). Da ciò deriva non solo che i RAEE «sono considerati il flusso di rifiuti in più rapida crescita nell’UE» ⁽⁷ ⁾, bensì anche, nel caso di smaltimento inadeguato, che è prevedibile un aumento del rischio di perdita e dispersione di dati personali contenuti in questo tipo di AEE.

7. Per molto tempo le politiche dell’Unione europea sull’ambiente e sullo sviluppo sostenibile si sono concentrate sulla riduzione dello spreco di risorse naturali e sull’introduzione di misure volte a prevenire l’inquinamento.

8. In questo quadro normativo rientrano lo smaltimento, il reimpiego e il riciclo dei RAEE. Le misure introdotte mirano a evitare lo smaltimento di apparecchiature elettriche ed elettroniche insieme ai rifiuti indifferenziati, imponendo ai produttori l’obbligo di provvedere allo smaltimento secondo le modalitá previste dalla direttiva.

9. In particolare, tra le varie misure previste dalla direttiva, vale la pena mettere in luce quelle destinate al reimpiego (ossia le operazioni in virtù delle quali i RAEE o loro componenti sono utilizzati allo stesso scopo per cui erano stati originariamente concepiti, incluso l’uso continuativo delle apparecchiature o loro componenti riportati a punti di raccolta, a distributori, riciclatori o fabbricanti), al riciclaggio (ossia il ritrattamento in un processo di produzione dei materiali di rifiuto per la loro funzione originaria o per altri fini) e alla ricerca di altre forme di recupero dei RAEE in maniera tale da ridurre lo smaltimento dei rifiuti [cfr. l’articolo 1 e l’articolo 3, lettere d) ed e), della direttiva].

10. Queste operazioni, in particolare il reimpiego e il riciclaggio dei RAEE, soprattutto di apparecchiature informatiche e di telecomunicazione, possono implicare il rischio, superiore rispetto al passato, che chi raccoglie i RAEE o vende e acquista i dispositivi usati o riciclati possa avere accesso a eventuali dati personali in essi contenuti. Tali dati spesso possono essere sensibili o riferirsi a un ampio numero di soggetti.

11. Per tutti questi motivi, il GEPD ritiene urgente che tutte le parti interessate (utilizzatori e fabbricanti di AEE) siano rese edotte in merito ai rischi concernenti i dati personali, specialmente nella fase conclusiva del ciclo di vita delle AEE. In tale stadio è probabile che le AEE contengano una grande quantità di dati personali e pertanto, pur avendo un minor valore dal punto di vista economico, presumibilmente possiedono un elevato valore «intrinseco» per la persona interessata e/o per altri soggetti.

III. ANALISI DELLA PROPOSTA

III.1. Applicabilità della direttiva 95/46/CE

12. Il GEPD non muove osservazioni sull’obiettivo generale della proposta e sostiene appieno l’iniziativa adottata, volta a migliorare le politiche ecocompatibili correlate ai RAEE.

13. Ciò nondimeno, la proposta, così come la direttiva, si concentra unicamente sui rischi ambientali legati allo smaltimento dei RAEE, senza tener conto di ulteriori rischi di diversa natura per i singoli individui e/o le organizzazioni che possono insorgere a seguito delle operazioni di smaltimento, reimpiego o riciclo dei RAEE, in particolare quelli legati alla possibilità di un’acquisizione, comunicazione o diffusione improprie dei dati personali contenuti nei RAEE.

14. È importante notare che la direttiva 95/46/CE ⁽⁸⁾ si applica a «qualsiasi operazione o insieme di operazioni […] applicate a dati personali», compresa la loro «cancellazione o distruzione» [articolo 2, lettera b)]. Lo smaltimento delle AEE può includere operazioni di trattamento dei dati. Per questo motivo esiste una sovrapposizione tra la proposta e la testé citata direttiva, per cui le norme sulla protezione dei dati sono applicabili alle attività interessate dalla proposta.

III.2. Smaltimento dei RAEE e misure di sicurezza

15. Il GEPD intende evidenziare i rischi elevati a carico dei singoli individui e/o delle organizzazioni nella loro funzione di «responsabili del trattamento dei dati» ⁽⁹⁾ nel caso in cui i RAEE, in particolar modo le apparecchiature informatiche e di telecomunicazione, contengano dati personali relativi agli utenti di tali dispositivi e/o a parti terze al momento dello smaltimento. L’accesso non autorizzato o la comunicazione di tali informazioni personali, a volte consistenti in particolari categorie di dati, che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati relativi alla salute e alla vita sessuale (i cosiddetti «dati sensibili») ⁽¹⁰ ⁾, sono infatti in grado di influire sulla vita privata e sulla dignità della persona a cui si riferiscono, nonché su altri interessi legittimi di tali singoli individui/ organizzazioni (per esempio, quelli economici).

16. In generale, il GEPD ritiene necessario sottolineare l’importanza dell’adozione di misure di sicurezza appropriate in ogni fase (da quella iniziale a quella finale) del trattamento dei dati personali, come più volte affermato in altri pareri ⁽¹¹ ⁾. Ciò si applica a maggior ragione nella delicata fase in cui il responsabile del trattamento dei dati intende smaltire i dispositivi contenenti dati personali.

17. Di fatto, il rispetto delle misure di sicurezza è spesso un prerequisito per garantire efficacemente il diritto alla protezione dei dati personali.

18. Sarebbe pertanto incoerente introdurre l’obbligo di mettere in atto misure di sicurezza (talvolta costose) nel corso delle normali operazioni di trattamento dei dati personali [come previsto dall’articolo 17 della direttiva 95/46/CE, ove applicabile ⁽¹²⁾] e poi semplicemente omettere di prendere in considerazione l'adozione di adeguate misure di sicurezza per quanto concerne lo smaltimento dei RAEE.

19. Parimenti non sarebbe coerente, da un lato, riconoscere importanza alla questione della sicurezza del trattamento dei dati al punto da dover introdurre l’obbligo di comunicazioni delle violazioni dei dati attraverso l’articolo 2 della direttiva 2009/136/CE ⁽¹³ ⁾ e, dall’altro lato, non fornire alcuna garanzia o protezione nel corso dello smaltimento dei RAEE nonché nel caso di loro reimpiego o riciclaggio.

20. Il GEPD si rammarica del fatto che la proposta non tenga conto dei potenziali effetti dannosi dello smaltimento dei RAEE sulla protezione dei dati personali contenuti nell’apparecchiatura «usata».

21. Questo aspetto non è stato nemmeno considerato nella valutazione dell’impatto effettuata dalla Commissione ⁽¹⁴ ⁾, sebbene l’esperienza abbia dimostrato che la mancata adozione di misure di sicurezza appropriate nel caso dello smaltimento dei RAEE possa pregiudicare la protezione dei dati personali ⁽¹⁵ ⁾. Vista la complessità delle questioni (per esempio, la grande quantità di metodi legittimi, tecnologie e parti interessate nel ciclo di smaltimento dei RAEE), il GEPD è del parere che sarebbe stato opportuno effettuare una «valutazione di impatto sulla tutela della vita privata e sulla protezione dei dati» in relazione ai processi correlati allo smaltimento dei RAEE.

22. Nondimeno, il GEPD raccomanda vivamente che vengano elaborate «migliori tecniche disponibili» per la tutela della vita privata, la protezione dei dati e la sicurezza in questo settore.

23. Inoltre, nel corso della consultazione pubblica che ha preceduto la rifusione della direttiva, alcune parti interessate, in particolare le società informatiche e di comunicazione elettronica, hanno talvolta sollevato questioni concernenti la sicurezza e la protezione dei dati personali ⁽¹⁶ ⁾.

24. Infine, è bene evidenziare che alcune autorità nazionali preposte alla protezione dei dati hanno pubblicato linee guida per ridurre al minimo i rischi derivanti dalla mancata adozione delle necessarie misure di sicurezza, nello specifico all’atto dello smaltimento di materiali soggetti all’applicazione della direttiva ⁽¹⁷ ⁾.

25. Il GEPD ribadisce che la direttiva 95/46/CE è applicabile nella fase di smaltimento dei RAEE contenenti dati personali. I responsabili del trattamento dei dati, in particolare quelli che utilizzano dispositivi informatici e di comunicazione, devono pertanto soddisfare gli obblighi di sicurezza al fine di evitare la comunicazione o la diffusione improprie di dati personali. A tal fine e per non essere ritenuti responsabili della violazione delle norme di sicurezza, i responsabili del trattamento dei dati del settore pubblico o privato devono adottare, con la collaborazione degli incaricati aziendali della protezione dei dati (ove presenti), politiche adeguate per lo smaltimento dei RAEE contenenti dati personali.

26. Nel caso in cui i responsabili del trattamento dei dati incaricati dello smaltimento di AEE non siano in possesso delle competenze e/o del know-how tecnico necessari per la cancellazione dei dati personali in questione, possono affidare tale compito a incaricati del trattamento qualificati (per esempio, centri di assistenza, fabbricanti e distributori di apparecchiature) in base a quanto stabilito dall’articolo 17, paragrafi 2, 3 e 4, della direttiva 95/46/CE. Tali incaricati del trattamento dovranno a loro volta certificare lo svolgimento delle operazioni in questione e/o effettuarle.

27. Alla luce di tali considerazioni, il GEPD giunge alla conclusione che la rifusione della direttiva dovrebbe aggiungere i principi di protezione dei dati alle disposizioni dedicate alla tutela dell’ambiente.

28. Il GEPD raccomanda pertanto al Consiglio e al Parlamento europeo di includere nell’attuale proposta una disposizione specifica che affermi l’applicabilità della direttiva allo smaltimento dei RAEE, fermo restando quanto disposto dalla direttiva 95/46/CE.

III.3. Reimpiego o riciclaggio dei RAEE e misure di sicurezza

29. Ove si trovino nella posizione di decidere in maniera autonoma in merito ai dati contenuti nelle AEE, i soggetti incaricati delle operazioni di smaltimento potrebbero essere considerati quali «responsabili del trattamento dei dati» ⁽¹⁸ ⁾. Essi devono pertanto adottare procedure interne al fine di evitare inutili operazioni di trattamento di qualsiasi dato personale contenuto nei RAEE, ossia operazioni diverse da quelle strettamente necessarie per verificare l’effettiva eliminazione dei dati in essi contenuti.

30. Inoltre, non devono consentire a soggetti non autorizzati di venire a conoscenza o di trattare i dati contenuti nei RAEE. In particolare, in caso di riciclaggio o reimpiego di supporti di memorizzazione, e quindi di una loro reimmissione in commercio, sussiste un rischio accresciuto di comunicazione o diffusione impropria di dati personali, nonché la necessità di impedire l’accesso non autorizzato a questo genere di dati.

31. Il GEPD pertanto raccomanda che il Consiglio e il Parlamento europeo includano nella proposta attuale una disposizione specifica che vieti l’immissione in commercio di dispositivi usati non precedentemente sottoposti a misure di sicurezza adeguate, in conformità con gli standard tecnici più avanzati (per esempio, sovrascrittura ripetuta con metodo «multi-pass»), per cancellare eventuali dati personali in essi contenuti.

III.4. Sicurezza e tutela della vita privata garantite fin dalla fase di progettazione

32. Il nuovo quadro giuridico sui rifiuti elettrici ed elettronici dovrebbe contenere non soltanto una disposizione specifica relativa al più ampio «principio della progettazione ecocompatibile» delle apparecchiature (cfr. l’articolo 4 della proposta in merito alla «Progettazione dei prodotti»), bensì anche, come è già stato precisato in altri pareri del GEPD ⁽¹⁹⁾, una disposizione riguardante il principio della «Tutela della vita privata fin dalla fase di progettazione» ⁽²⁰⁾ o, più esattamente in questo contesto, della «Sicurezza sin dalla progettazione» ⁽²¹ ⁾. Nei limiti del possibile, la tutela della vita privata e la protezione dei dati dovrebbero essere integrate «di norma» sin dalla fase della progettazione delle apparecchiature elettriche ed elettroniche, al fine di consentire agli utenti di cancellare, usando un mezzo semplice e gratuito, i dati personali che potrebbero essere contenuti nei dispositivi in caso di loro smaltimento ⁽²²⁾

33. Questo approccio è chiaramente sostenuto dall’articolo 3, paragrafo 3, lettera c), della direttiva 1999/5/CE ⁽²³⁾ riguardante le apparecchiature radio e le apparecchiature terminali di telecomunicazione nonché dall’articolo 14, paragrafo 3, della direttiva 2002/58/CE ⁽²⁴⁾.

34. Pertanto, i produttori dovrebbero «integrare» elementi di salvaguardia per la sicurezza e la tutela della vita privata tramite soluzioni tecnologiche ⁽²⁵⁾. In questo contesto sarebbe bene promuovere e sostenere iniziative mirate a fornire consulenza ai soggetti interessati a cancellare eventuali dati personali contenuti nei RAEE prima del loro smaltimento (compresi i produttori affinché mettano a disposizione software gratuiti adatti allo scopo) ⁽²⁶⁾.

IV. CONCLUSIONI

35. Alla luce di quanto precede, il GEPD raccomanda che le autorità preposte alla protezione dei dati, in particolare attraverso il Gruppo di lavoro articolo 29, e il GEPD stesso partecipino in stretta collaborazione a iniziative vertenti sullo smaltimento dei RAEE, mediante una consultazione in una fase sufficientemente precoce prima dell’elaborazione di misure pertinenti.

36. Considerando il contesto in cui i dati personali vengono sottoposti a trattamento, il GEPD raccomanda l’inserimento nella proposta di disposizioni specifiche che:

— affermino che la direttiva sui RAEE trova applicazione fermo restando il disposto della direttiva 95/46/CE,

— vietino l'immissione in commercio dei dispositivi usati che non siano stati precedentemente sottoposti a misure di sicurezza adeguate, in conformità con gli standard tecnici più avanzati, al fine di cancellare eventuali dati personali in essi contenuti,

— in merito al principio della «Tutela della vita privata fin dalla fase della progettazione» o della «Sicurezza sin dalla progettazione»: nei limiti del possibile, la tutela della vita privata e la protezione dei dati dovrebbero essere integrate «di norma» sin dalla fase della progettazione delle apparecchiature elettriche ed elettroniche, al fine di consentire agli utenti di cancellare, usando modalità semplici e gratuitamente, i dati personali che potrebbero essere contenuti in dispositivi in caso di smaltimento.

37. Pertanto, il GEPD raccomanda vivamente che, in conformità con la direttiva 95/46/CE, la proposta venga così modificata:

— considerando 11: «Inoltre, la presente direttiva dovrebbe applicarsi fatta salva la normativa in materia di protezione dei dati, in particolare la direttiva 95/46/CE. Poiché per apparecchiature elettriche ed elettroniche (AEE) si intende un’ampia gamma di prodotti che comprende una disparata serie di supporti in grado di contenere dati personali — quali le apparecchiature informatiche e di telecomunicazione (per esempio, personal computer, laptop, terminali per i servizi di comunicazione elettronica) — le operazioni di smaltimento collegate a tali apparecchiature, in particolare il reimpiego e il riciclaggio, possono presentare rischi di accesso non autorizzato ai dati personali contenuti nei RAEE. Pertanto, nei limiti del possibile, sarebbe opportuno includere di norma elementi di salvaguardia per la tutela della vita privata e la protezione dei dati nella progettazione di apparecchiature elettriche ed elettroniche capaci di contenere dati personali per consentire agli utenti di cancellare, agevolmente e senza costi aggiuntivi, eventuali informazioni di questo genere al momento dello smaltimento»,

— articolo 2, paragrafo 3: «La presente direttiva si applica fatta salva la normativa in materia di protezione dei dati, in particolare la direttiva 95/46/CE.»

38. In aggiunta, il GEPD ritiene opportuno che si considerino le seguenti modifiche:

— articolo 4, paragrafo 2: «Gli Stati membri incoraggiano misure volte a favorire la progettazione e la produzione di apparecchiature elettriche ed elettroniche che agevolino la cancellazione di eventuali dati personali contenuti nelle AEE al momento del loro smaltimento»,

— articolo 8, paragrafo 7: «Gli Stati membri assicurano che ogni RAEE raccolto contenente dati personali che sia sottoposto a trattamento ai fini del riciclaggio o del reimpiego non sia reimmesso in commercio a meno che tali dati non siano stati cancellati utilizzando le migliori tecniche disponibili»,

— articolo 14, paragrafo 6: «Gli Stati membri possono esigere che gli utenti delle AEE contenenti dati personali siano informati da produttori e/o distributori, per esempio nelle istruzioni d’uso o presso i punti vendita, in merito alla necessità di cancellare dati personali che potrebbero essere contenuti nelle AEE prima del loro smaltimento».

Fatto a Bruxelles, il 14 aprile 2010.

Peter HUSTINX

Garante europeo della protezione dei dati

NOTE

( 1 ) COM(2008) 810 definitivo.

( 2 ) GU L 37 del 13.2.2003, pag. 24.

( 3 ) Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati, GU L 8 del 12.1.2001, pag. 1.

( 4 ) Cfr. la sentenza della Corte del 23 febbraio 1999, causa C-42/97, Parlamento europeo/Consiglio dell’Unione europea, Racc. 1999, pag. I-869, punto 43.

( 5 ) Cfr. anche, tra l’altro, la sentenza della Corte del 30 gennaio 2001, causa C-36/98 Spagna/Consiglio, Racc. 2001, pag. I-779, punto 59: «Se l’esame di un atto comunitario dimostra che esso persegue una duplice finalità o che esso ha una doppia componente e se una di queste è identificabile come principale o preponderante, mentre l’altra è solo accessoria, l’atto deve fondarsi su una sola base giuridica, ossia quella richiesta dalla finalità o componente principale o preponderante».

( 6 ) Accordo interistituzionale, del 28 novembre 2001, ai fini di un ricorso più strutturato alla tecnica della rifusione degli atti normativi, GU C 77 del 28.3.2002, pag. 1.

( 7 ) Documento di lavoro dei servizi della Commissione che accompagna la proposta di direttiva del Parlamento europeo e del Consiglio sui rifiuti di apparecchiature elettriche ed elettroniche (RAEE) (rifusione). Valutazione dell’impatto, 3.12.2008 [COM(2008) 810 definitivo] SEC(2008) 2933, pag. 17.

( 8 ) Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, GU L 281 del 23.11.1995, pag. 31.

( 9 ) Per la definizione di «responsabile del trattamento» cfr. l’articolo 2, lettera d), della direttiva 95/46/CE.

( 10 ) Cfr. l’articolo 8 della direttiva 95/46/CE.

( 11 ) Cfr. il parere del Garante europeo della protezione dei dati sull’agenzia per la gestione operativa dei sistemi di tecnologia dell’informazione su larga scala (GU C 70 del 19.3.2010, pag. 13), punti 46 e 47; il parere sulla proposta di direttiva concernente l’applicazione dei diritti dei pazienti relativi all’assistenza sanitaria transfrontaliera (GU C 128 del 6.6.2009, pag. 20), punti 27-31.

( 12 ) Cfr. l’articolo 3 della direttiva.

( 13 ) Direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell’esecuzione della normativa a tutela dei consumatori, GU L 337 del 18.12.2009, pag. 11.

( 14 ) Documento di lavoro dei servizi della Commissione che accompagna la proposta di direttiva del Parlamento europeo e del Consiglio sui rifiuti di apparecchiature elettriche ed elettroniche (RAEE) (rifusione), SEC(2008) 2933, 3.12.2008; cfr. anche Università delle Nazioni Unite, 2008 Review of Directive 2002/96/EC on Waste Electrical and Electronic Equipment (WEEE), Commissione europea, Belgio, 2007, pag. 273 (http://ec.europa.eu/environment/waste/weee/pdf/ final_rep_unu.pdf); Data security is also an issue — removing personal data from a hard-drive.

( 15 ) Cfr. per esempio l’articolo della BBC disponibile online Children’s files on eBay computer, del 4 maggio 2007, che riporta l’episodio di un computer contenente dati personali concernenti l’affidamento e l’adozione di bambini venduto su eBay (http://news.bbc.co.uk/2/ hi/uk_news/england/6627265.stm); cfr. anche l’articolo della BBC disponibile online Bank customer data sold on eBay, del 26 agosto 2008, nel quale si segnala che il disco rigido contenente dati personali relativi a un milione di clienti bancari era stato venduto su eBay (http://news.bbc.co.uk/2/hi/uk_news/7581540.stm).

( 16 ) Cfr. HP, Stakeholder Consultation on the Review of Directive 2002/96/EC of the European Parliament and of the Council on Waste Electrical and Electronic Equipment (WEEE), pagg. 7-8; DELL (bozza di osservazioni), WEEE Review Policy Options of the stakeholder consultation on the review of directive 2002/96/EC of the European Parliament and of the Council on Waste Electrical And Electronic Equipment (WEEE), pag. 2, punti 1.1 e 4, punto 1.3 (3.6.2008); Posizione e proposta di Royal Philips Electronics, Stakeholder consultation on the Revision of the WEEE Directive, pag. 12 (5.6.2008) (http://circa.europa.eu/Public/irc/ env/weee_2008_review/library). Cfr. anche WEEE Consultation Response, Summary of responses and Government response to fourth consultation on implementation of Directives 2002/96/EC and 2003/108/EC on Waste Electrical and Electronic Equipment, dicembre 2006, pag. 30: «Data protection and security. Some waste management companies would like there to be some guidance issued on data protection and security, particularly in light of the fact they will be handling sensitive data» (http://www.berr.gov.uk/files/ file35961.pdf).

( 17 ) Landesbeauftragter für Datenschutz und Informationsfreiheit Bremen, Entwicklung eines Konzeptes zur Löschung und Datenträgervernichtung durch Behörden und Unternehmen, 16. Mai 2007 (http://www. datenschutz-bremen.de/rtf/datenloeschung.rtf); Garante per la protezione dei dati personali, Rifiuti di apparecchiature elettriche ed elettroniche (Raee) e misure di sicurezza dei dati personali, 13 ottobre 2008 (http://www.garanteprivacy.it/garante/doc.jsp?ID=1571514), menzionato anche nella Twelfth Annual Report of the Article 29 Working Party on Data Protection, 16 giugno 2009, pag. 57; cfr. anche Gruppo di lavoro internazionale sulla tutela dei dati nelle telecomunicazioni, Recommendation on Data Protection and E-Waste, Sofia, 12-13.3.2009 (http://www.datenschutz-berlin.de/attachments/650/ 675.38.14.pdf?1264671551).

( 18 ) «Il concetto di responsabile del trattamento è […] basato sui fatti, nel senso che è inteso a ripartire le responsabilità nel caso di influenza reale, e quindi basata su un’analisi effettiva piuttosto che formale»: cfr. Gruppo di lavoro articolo 29 per la protezione dei dati, WP 169, parere 1/2010 sui concetti di «responsabile del trattamento» e «incaricato del trattamento», adottato il 16 febbraio 2010.

( 19 ) Cfr., per esempio, The EDPS and EU Research and Technological Development, documento orientativo, 28 aprile 2008, pag. 2; parere del GEPD sui sistemi di trasporto intelligenti (GU C 47 del 25.2.2010, pag. 6); parere del GEPD per quanto riguarda la farmacovigilanza (GU C 229 del 23.9.2009, pag. 19).

( 20 ) A favore di un’ampia applicazione di tale principio, cfr. il Gruppo di lavoro articolo 29 sulla protezione dei dati — Gruppo di lavoro «Polizia e giustizia», The Future of Privacy. Contributo congiunto alla consultazione della Commissione europea sul quadro giuridico per il diritto fondamentale alla protezione dei dati personali, WP 168, adottato il 1 o dicembre 2009, pagg. 3 e 12; cfr. anche la raccomandazione della Commissione sull’applicazione dei principi di protezione della vita privata e dei dati personali nelle applicazioni basate sull’identificazione a radiofrequenza, C(2009) 3200 definitivo, pag. 8.

( 21 ) Cfr. comunicazione della Commissione, Programma europeo di ricerca e innovazione in materia di sicurezza — Posizione iniziale della Commissione sulle principali constatazioni e raccomandazioni dell’ESRIF, COM(2009) 691 definitivo, pagg. 6 e 14.

( 22 ) Cfr. anche GEPD, Opinion of 18 March 2010 on promoting trust in the Information Society by fostering data protection and privacy.

( 23 ) Articolo 3, paragrafo 3, della direttiva 1999/5/CE del Parlamento europeo e del Consiglio, del 9 marzo 1999, riguardante le apparecchiature radio e le apparecchiature terminali di telecomunicazione e il reciproco riconoscimento della loro conformità (GU L 91 del 7.4.1999, pag. 10): «[…] la Commissione può stabilire che gli apparecchi all’interno di determinate categorie o determinati tipi di apparecchi siano costruiti in modo da […] contenere elementi di salvaguardia per garantire la protezione dei dati personali e della vita privata dell’utente o dell’abbonato».

( 24 ) «All’occorrenza, possono essere adottate misure dirette a garantire che le apparecchiature terminali siano costruite in maniera compatibile con il diritto degli utenti di tutelare e controllare l’uso dei loro dati personali in conformità della direttiva 1999/5/CE e della decisione 87/95/CEE del Consiglio, del 22 dicembre 1986, relativa alla normalizzazione nel settore delle tecnologie dell’informazione delle telecomunicazioni». Cfr. anche il considerando 46 della medesima direttiva, menzionato alla nota 13.

( 25 ) A sostegno di questa prospettiva politica, cfr. anche V. Reding, discorso programmatico in occasione della Giornata della protezione dei dati, 28 gennaio 2010, Parlamento europeo, Bruxelles, SPEECH/10/16: «Le imprese devono sfruttare il proprio potenziale innovativo per migliorare la tutela della vita privata e la protezione dei dati personali fin dall’inizio del ciclo di produzione. Il principio della “tutela della vita privata fin dalla fase di progettazione” è un principio che risponde agli interessi dei cittadini e delle imprese. La tutela della vita privata fin dalla fase di progettazione comporterà un aumento della protezione dei singoli individui, nonché un incremento della fiducia nei nuovi prodotti e servizi, che a sua volta avrà un impatto positivo per l’economia. Ho potuto vedere di persona alcuni esempi incoraggianti, ma c’è ancora molto da fare in tal senso».

( 26 ) Cfr., per esempio, Royal Canadian Mounted Police, B2-002 — IT Media Overwrite and Secure Erase Products (05/2009), in http://www. rcmp-grc.gc.ca/ts-st/pubs/it-ti-sec/index-eng.htm