Per il GDPR, la distruzione dati è l’ultimo dei “Trattamenti”; quindi normata, sia in fase contrattuale, sia in fase esecutiva. La sola mancanza, per esempio, della nomina a Responsabile Esterno del riciclatore dei rifiuti cartacei integri, è sanzionabile. Ai sensi dell’Articolo 28 GDPR, il Titolare deve essere consapevole delle procedure e delle sicurezze che verranno applicate, per Suo conto, nei trattamenti esternalizzati dei dati. Da ciò la necessità di utilizzare Aziende specializzate, capaci di fornire documentazioni specifiche atte a garantire la conformità al GDPR e, in fase operativa, di dimostrare l’avvenuto processo di distruzione in sicurezza, con prove certe e ripetibili. Ulteriore garanzia è data dalla presenza di un Certificato di Processo secondo la UNI EN 15713:2009.

Per il Testo Unico Ambientale, la cessione dei documenti integri deve avvenire tramite Aziende Autorizzate alla gestione dei rifiuti e svolgersi con il Formulario Rifiuti. Il semplice invio al riciclo della documentazione non esula il Titolare al Trattamento dalle sue responsabilità. Affidare i documenti integri alla municipalizzata aumenta ulteriormente i rischi, in quanto l’operatore ecologico e i successivi addetti, possono visualizzare i dati presenti. La norma ambientale precisa che, nel momento in cui si getta un rifiuto nel cassonetto o si conferisce ad Aziende tramite FIR, non conosceremo le successive destinazioni, essendo giuridicamente non più proprietari dei rifiuti; da ciò una perfetta definizione da manuale di “Data Breach”, con le sanzioni applicabili al Titolare al Trattamento.

Ai sensi del Codice Europeo (GDPR) La Data Breach è una violazione di sicurezza che comporta la perdita, la divulgazione o l’accesso incontrollato ai dati riservati, trattati dal Titolare; Esso non è in grado di assicurare la riservatezza, con violazione dei diritti dell’interessato.

La cessione di rifiuti contenenti dati riservati, senza nessuna sicurezza, è una Data Breach; essa può portare a furto o frode di identità, perdite finanziarie, danni di reputazione, divulgazione non autorizzata di dati personali protetti da segreto professionale e, in generale, imprevedibili danni di carattere economico sociale.

Il Titolare ha l’obbligo di disporre un metodo per valutare i possibili impatti (fornitore qualificato, nomina e contratto per Responsabile Esterno), e di seguire una procedura per la gestione dell’evento (Notifica all’Autorità di Controllo, comunicazione della violazione all’Interessato).

Il Garante, nel caso sia rilevata una violazione delle Disposizioni del Regolamento stesso, per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione, può disporre sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.

Alle sanzioni suddette, il GDPR, all’Art. 82, definisce all’Interessato il diritto di ottenere il risarcimento del danno causato dal Titolare o dal Responsabile del trattamento. Solo se dimostra che l’evento dannoso non gli è in alcun modo imputabile, evita il pagamento.

Da ciò scaturisce che ad oggi una gestione accurata degli scarti di archivio sensibili è diventata una necessità di notevole importanza per ogni singola realtà, dal piccolo professionista alla grande Società.

Per imputare gli eventuali danni al Responsabile Esterno e evitare possibili sanzioni, bisogna accertarsi che esso, in fase esecutiva, applichi tutti i possibili processi di sicurezza e controllo, presenti nelle istruzioni operative alla firma del contratto. Da ciò alcuni consigli per la valutazione del Fornitore di servizi.

• Effettuare un’accurata selezione della società esecutrice, in base alle qualità tecniche oltre a quelle economiche.
• Diffidare dalle Società anonime sul Web, verificare i Proprietari, gli indirizzi e le Sedi Operative, se possibile.
• Essere informati di tutti i possibili rischi, i controlli e tutte le relative procedure per eliminarli o contenerli (Registro dei Trattamenti).
• Richiedere una ispezione pre-contratto per verificare il rispetto delle procedure.
• Richiedere un contratto/ordine con elencate le prestazioni e le modalità di distruzione.
• Valutare la presenza di Certificati di Qualità, con controllo di Enti certificatori Esterni.
• Effettuare la nomina a Responsabile Esterno al trattamento alla Società Distruttrice.
• Essere informati dei nominativi degli Incaricati che effettueranno il servizio.
• Essere informati sul percorso che seguirà la documentazione da distruggere (tracciabilità dei dati).
• Pretendere il Trasporto in contenitori sigillati e lo stoccaggio in ambienti video sorvegliati con allarme antifurto.
• Richiedere la possibilità di assistere alla distruzione da parte di un proprio Responsabile.
• Prima della triturazione (se off-site), la verifica documentabile dell’integrità dei sigilli.
• La certezza della completa distruzione, al Livello Sicurezza 3 o superiore (DIN 66399), dei documenti, documentabile (DVD).
• Pretendere il Riciclo (DM188/2020) e l’invio alla cartiera dei frammenti cartacei, per scioglimento con acqua e creazione di nuova carta.
• La possibilità di presiedere o di effettuare controlli a sorpresa, durante il processo di distruzione.
• La certificazione della distruzione con i riferimenti ai sigilli/contenitori.

Tutti i suddetti punti di sicurezza (offerti dalla Nostra Azienda), devono essere presenti in fase contrattuale; per la parte operativa, devono essere dimostrate, anche successivamente, le prove dell’avvenuto rispetto di quanto stabilito. Solo così, selezionando un Fornitore qualificato, il Titolare al Trattamento può evitare la colpevolezza e le sanzioni in caso di evento dannoso.

La distruzione dei documenti in loco è il più’ sicuro e affidabile metodo di distruzione delle informazioni, eliminando ogni rischio di possibili perdite di dati. Il materiale è conservato in sicurezza, fino all’arrivo del veicolo attrezzato; i clienti possono così assistere al processo di distruzione.

Va tuttavia considerato l’elevato costo operativo del servizio; con adeguate procedure di sicurezza, si può esternalizzare la distruzione, ottimizzando i costi e eliminando i disagi che comporta un Mezzo Pesante in aree urbane (Rumore, inquinamento e difficolta di accesso/sosta). Il domicilio rimane necessario, nei casi in cui il livello di sicurezza richiesto sia molto alto (Documentazione Classificata NOS); la nostra Azienda applica il Livello P7, il massimo presente sul mercato.

Gestire la distruzione internamente comporta l’utilizzo di proprio personale, con due possibili approcci:

L’impiego di dipendenti di basso livello per la distruzione dei documenti, con il pericolo di esporre dati sensibili del personale e informazioni aziendali, a persone non destinati alla visione.

L’impiego di dipendenti di alto livello per la distruzione dei propri documenti, con elevato spreco di risorse; in entrambi i casi vi possono essere problemi.

Richiedere ad un distruggi documenti con prestazioni ragionevoli, il tagliuzzamento di una risma di carta (circa 2 kg) comporta un tempo di circa 10 minuti, di conseguenza richiederebbe circa 4 ore di lavoro per triturare il contenuto di un nostro carrello. A ciò deve essere aggiunto l’investimento nella macchina distruttrice, le manutenzioni e la gestione del rifiuto generato. Il nostro servizio elimina tutto questo, il proprio distruggi documenti è essenziale per la normale produzione della scrivania, non per la gestione degli archivi o per realtà medio grandi.

I nostri distruggi-documenti, fino al Livello Sicurezza P3, utilizzano un procedimento di distruzione a taglio incrociato; per il Livello Sicurezza P7, oltre al taglio, vi è una miscelazione con acqua, ottenendo poltiglia senza alcuna possibile ricostruzione documentale (solo domiciliare). I documenti cartacei, ridotti in frammenti, mescolati e pressati in balle (con una pressione superiore alle 10 tonnellate), saranno riciclati presso la Nostra Piattaforma di Recupero conforme al DM 188/2020 e sciolti in acqua per generare nuova carta. La nostra sicurezza si applica anche per i frammenti, avendo il controllo dell’utente finale che utilizza la carta riciclata.

Sì, tutte fasi della distruzione seguono il Processo di Qualità UNI EN 15713 (Certificato n. P4755 CERTIQUALITY Srl) e la Norma DIN 66399.

• L’accesso è limitato solo al personale Incaricato, attraverso un sistema di controllo del luogo in cui i supporti cartacei sono stoccati.
• Il trasporto dei supporti cartacei avviene con modalità idonee a prevenire la dispersione dei documenti; viaggeranno all’interno di contenitori chiusi e sigillati, collocati su mezzi mobili dotati di simili livelli di sicurezza.
• La frammentazione del materiale cartaceo garantisce un livello di distruzione idoneo a impedire sia la lettura, anche parziale, sia la loro eventuale ricostruzione.
• La nostra organizzazione, consente verifiche da parte del Titolare, sia attraverso ispezioni che, eventualmente, a mezzo di strumenti telematici.
• Qualora la distruzione avvenga presso il luogo di archiviazione dei dati (on-site), il protocollo di sicurezza sarebbe soggetto a naturali variazioni rispetto al caso di distruzione presso la nostra sede; pur senza, tuttavia, la possibilità di alcuna alterazione degli standard di sicurezza richiesti.

Al termine di ogni distruzione, viene rilasciato un Certificato di Distruzione; tale documento è completato da un File Video, dove poter visionare l’integrità e la rimozione del sigillo, l’apertura del contenitore e la completa distruzione del materiale in esso collocato. Prima del rilascio di ogni Certificato, verifichiamo i file video e la corretta esecuzione della distruzione; solo se tale verifica è positiva si può dare prova certa della distruzione e Certificare la stessa.

Il periodo di scarto dell’archiviazione aziendale è stabilito da vari protocolli, che vanno da tre ai dieci anni. L’unico modo per eliminare questi documenti è quello di distruggerli, utilizzando un metodo che ne garantisca la distruzione totale; pur se pronti per lo scarto, i dati personali e sensibili presenti non hanno una scadenza temporale. Documentare la data e il metodo, usato per la distruzione, è un obbligo richiesto GDPR.

Il materiale da distruggere viene inserito nei nostri contenitori, muniti di serratura (varie capacità); al momento del carico, vengono sigillati e codificati. Solo le persone autorizzate possiedono la chiave per aprire i carrelli. I sigilli devono rimanere integri nelle fasi di carico, trasporto, scarico e stoccaggio; la rottura dei sigilli/codice avverrà sotto monitoraggio video, nella fase della distruzione.

Gli operatori, vincolati al segreto, gestiscono rapidamente e accuratamente il materiale senza problemi per graffette, fermagli e spille; solo le buste trasparenti A4 devono essere rimosse in fase di distruzione.

Il nostro servizio si applica sia al professionista, sia alle grosse organizzazioni internazionali; dalle attività quotidiane alle pulizie annuali, siamo in grado di risolvere ogni Vostra esigenza.

Tutti i nostri incaricati vengono sottoposti a controlli sui precedenti penali, sull’utilizzo di droghe, sono vincolati tramite un accordo di riservatezza e sono inseriti all’ interno del Registro dei trattamenti; tali controlli/aggiornamenti sono oggetto di verifica periodica da terzi, in conformità alla ISO 9001:2015. È presente dal 2013, nell’Organico Aziendale, un Consulente della Privacy Certificato TUV (n. CDP 120 Rev.003) La nostra società collabora con Associazioni Privacy per un continuo aggiornamento delle procedure di sicurezza che accompagnano la distruzione dei documenti, in base, sia alle evoluzioni delle norme giuridiche sia alle esperienze maturate nel tempo.

Il Testo Unico Ambientale (Dlg. 152/2006), e successivamente la Direttiva 2012/19/UE, norma la corretta gestione dei Rifiuti Elettronici (RAEE). Se provengono da Attività professionali, possono essere conferiti solo presso Impianti di Trattamento autorizzati alla ricezione dei RAEE PROFESSIONALI. Gli hard disk, come i PC e le altre tipologie di apparecchiature elettroniche, hanno il Codice CER 16.02.14 “Apparecchiature fuori uso, diverse da quelle di cui alle voci da 16.02.09 a 16.0213”. E’ obbligo del Detentore del Rifiuto, verificare l’esattezza delle Autorizzazioni dell’Azienda a cui affiderà i rifiuti. Il Detentore che conferisce, ha la responsabilità della compilazione del Formulario, deve verificare che i soggetti che effettueranno il trasporto e il riciclo, siano debitamente autorizzati allo svolgimento delle operazioni richieste, altrimenti rimane corresponsabile dell’illecita gestione dei rifiuti.

La normativa DIN 66399 è utilizzata a livello comunitario per la regolamentazione della frammentazione dei supporti contenenti dati riservati, tale regolamento definisce le procedure di costruzione sia degli apparecchi distruggi documenti da ufficio sia dei trituratori industriali. I livelli di sicurezza di tali apparecchi, che possono essere del tipo a strisce o a frammenti, si dividono in Tre Gradi di Protezione e in Sette Livelli di Sicurezza. La norma raccoglie ogni tipologia di supporto contenente dati; in particolare indica, con la lettera P la carta, con la H gli Hard Disk, seguita dal numero del Livello di Sicurezza applicato. Tale norma, più severa della UNI-EN 15713, è stata la scelta Aziendale di riferimento, alzando la sicurezza del servizio per i nostri clienti.

La normativa UNI – EN 15713, utilizzata a livello comunitario per la “Gestione e controllo della distruzione di materiale e documentazione sensibile e confidenziale”, tale regolamento definisce le procedure di costruzione sia degli apparecchi distruggi documenti da ufficio sia dei trituratori industriali. I livelli di sicurezza di tali apparecchi, che possono essere del tipo a strisce o a frammenti, si dividono nelle seguenti cinque tipologie (misura massima del frammento):

• Livello sicurezza 1-utilizzabile per documenti di ogni genere non riservati ne confidenziali (mmq 800);
• Livello sicurezza 2-utilizzabile per quella documentazione definita riservata (mmq 500);
• Livello sicurezza 3-utilizzabile per quella documentazione contenente dati personali, medici tutelati dalla Legislazione sulla Privacy dello stato Italiano (mmq 320)
• Livello sicurezza 4-utilizzabile per quei documenti segreti ed estremamente delicati (mmq 30)
• Livello sicurezza 5-utilizzabile per i documenti di massima sicurezza (mmq 10)
• Livello sicurezza 6-non definito dalla suddetta normativa che tratta materiali di segretezza e massima sicurezza quali segreti di stato e di spionaggio. (mmq 5)

Siamo Certificati come Processo Conforme, presso al Nostra Sede Operativa, dall’Ente CERTIQUALITY con il numero di Certificato n. P4755.

Il Decreto Ministeriale 188/2020 regolamenta la disciplina di cessazione della qualifica di rifiuto da carta e cartone. Esso stabilisce che, i produttori di carta e cartone recuperati devono applicare un Sistema di Gestione della Qualità ISO 9001:2015, attestando la validità delle Autorizzazioni all’esercizio del recupero di carta e cartone, potendo così commercializzare il prodotto riciclato come “Carta e Cartone End of Waste”. Grazie a tale conformità possiamo controllare l’ultima fase del riciclo, tramite scioglimento in acqua, dei documenti, evitando figure terze non controllabili.

Siamo Certificati come Qualità ISO 9001:2015, per la Conformità al DM 188/2020, dall’Ente CERTIQUALITY con il numero di Certificato n. 52362.