
Stati Uniti e la Groenlandia
20 Gennaio 2025
La Guerra Russo-Ucraina 3 anni
31 Gennaio 2025
Digitalizzazione e Conservazione come elementi di accountability nella gestione della privacy
Da quando è stato lanciato il Mercato Unico Digitale la UE ha avviato un piano di regolamentazione che sta portando ad uniformare il mondo digitale. In particolare il GDPR ha rafforzato l’esigenza di avere una corretta tenuta documentale. Questo aspetto incrociato ai processi di digitalizzazione impone una particolare attenzione al ciclo di vita del documento informatico e in particolare la fase della conservazione, quando è possibile preservare il valore legale della documentazione privacy nel tempo attraverso un processo codificato e garantito. In questo modo il titolare del trattamento dei dati personali può provare la sua Accountability.
Il GDPR, General Data Protection Regulation 679 del 2016, ha cambiato la prospettiva della protezione dei dati personali e più ampiamente del diritto alla privacy. Si tratta di un’onda che ha toccato e sta toccando tutti gli aspetti della rappresentazione di un dato, nelle sue più diverse forme ed espressioni. Non solo. Non si tratta di una norma fine a se stessa, ma parte di un più ampio e lungimirante progetto di espansione del significato di Europa e dei suoi valori. La vecchia Europa del carbone e dell’acciaio si è dematerializzata e ha preso atto che questo processo assumeva rischi rilevanti per i cittadini e coloro che calpestavano il suolo europeo. Il Mercato Unico Digitale del 2015 apre l’orizzonte della dematerializzazione e della digitalizzazione dell’Europa. Ne segue il Regolamento EiDAS che definisce regole comuni per i servizi fiduciari, toccando temi di delocalizzazione della firma elettronica, e più in particolare di rappresentanza. Seguendo una buzzword pandemica: la smart rappresentanza.
L’evoluzione digitale della società (...), come ben ricordano gli autori di Conservazione dei documenti informatici, porta alla produzione di una mole sempre più sterminata di documenti informatici. Si pone dunque il problema di come assicurare che questi documenti preservino le caratteristiche nel futuro, di come essi possano continuare a fornire le informazioni che contengono sempre le condizioni di autenticità, integrità e immodificabilità.
Questo aspetto va combinato col fatto che questi documenti contengono dati anche personali, come i contratti, le fatture; ma possono contenere anche dati particolari
176
e giudiziari (artt. 9 e 10 del GDPR). Nel settore privato i documenti con presenza di dati personali sono maggiori di quanto si possa immaginare e spesso non censiti nelle norme, ma nelle procedure aziendali e nella pratica operativa della stessa organizzazione.
Basti pensare a un customer care che gestisce le segnalazioni o specifiche problematiche segnalate dai consumatori e condivise tra vari dipartimenti con email e allegati, o file condivisi in cloud aziendali, se non esterni.
Per questo motivo le Linee guida sulla formazione, gestione e conservazione dei documenti informatici menzionano in più parti il regolamento europeo, dai Principali riferimenti normativi (par. 1.5), ai contenuti dei manuali fino ai ruoli e ai soggetti coinvolti.
Con le Linee guida inoltre AgID ha fornito istruzioni che non solo si applicano al settore pubblico, dove storicamente si applicavano le disposizioni in materia di documento informatico, ma anche al settore privato. Al momento gli obblighi della conservazione a norma e del manuale di conservazione sono limitati, di fatto, solo nel settore fiscale; ma come vedremo l’adozione di una logica archivistica in termini di conservazione potrebbe risultare efficace per tutta la Data protection.
Ben argomentano gli avvocati Romito e Viggiani quando affermano che “La conservazione digitale oltre essere obbligatoria per fini fiscali consente di migliorare l’organizzazione aziendale in termini di efficienza e modernità poiché è in grado di garantire una maggiore contezza delle operazioni svolte digitalmente dell’Ente e da tutte quelle sopra descritte che generano documenti immodificabili e dotati di integrità. Invero, nell’ottica di una corretta applicazione del principio di accountability di cui agli artt. 5 e 24 del GDPR la tenuta del Manuale di conservazione consente di applicare la signoria dell’Ente sui dati oggetto di processo digitale.”1
Il tema, infatti, è una corretta tenuta documentale che non vuol dire solo l’atto finale della conservazione, ma tutto il ciclo di vita del documento 2. Le Linee guida, nel capitolo 1.11 affermano che “La gestione documentale è un processo che può essere suddiviso in tre fasi principali: formazione, gestione e conservazione. Nell’ambito di ognuna delle suddette fasi si svolgono una serie di attività che si distinguono per complessità, impatto, natura, finalità e/o effetto, anche giuridico, alle quali corrispondono approcci metodologici e prassi operative distinte. Il sistema di gestione informatico dei documenti, la cui tenuta può anche essere delegata a terzi, affinché possa essere efficiente e sicuro deve essere necessariamente presidiato da specifiche procedure e strumenti informatici, in grado di governare con efficacia ogni singolo accadimento che coinvolge la vita del documento ed effettuata secondo i principi generali applicabili in materia di trattamento dei dati personali anche mediante un’adeguata analisi del rischio.”
Merita attenzione la lettura del Parere sullo schema di “Linee Guida sulla formazione, gestione e conservazione dei documenti informatici” - 13 febbraio 2020 [9283921] del Garante per la Protezione dei Dati Personali 3. L’authority dopo un esame degli elementi più rilevanti in materia di protezione dei dati personali conclude sottolineando che “Più in generale, si ritiene, comunque, opportuno ribadire che i titolari del trattamento devono mettere in atto, ed essere in grado di comprovare, al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati, l’adozione di misure tecniche ed organizzative adeguate avendo riguardo anche ai principi della protezione dei dati fin dalla progettazione e della protezione dei dati per impostazione predefinita (artt. 5, 24 e 25 del Regolamento).”
Il fatto che il Garante sottolinei che i titolari debbano “essere in grado di comprovare (...) l’adozione di misure tecniche ed organizzative adeguate” in linea con la stessa normativa del GDPR solleva un altro aspetto molto rilevante, cioè che una semplice dichiarazione quanto una tenuta documentale non strutturata non possa necessariamente garantire una valida prova delle politiche di Data Protection messe in atto dal titolare.
Ecco perché la corretta applicazione dei principi di una corretta tenuta documentale, così come previsti dalle Linee guida, possono chiudere un ciclo di processi e procedure che dimostrano l’affidabilità del titolare. In particolare quando si parla di misure tecniche e organizzative adeguate dobbiamo immaginare che questo implica non solo l’ovvio concetto di sicurezza informatica, ma anche come formiamo il documento e il fascicolo.
Le Linee guida rispondono in questo senso al modo corretto con cui adeguatamente adottare misure per produrre il documento in modo tale che questo possa garantire alcune caratteristiche come l’integrità e l’immodificabilità.
Il titolare dovrebbe anche adottare le buone prassi archivistiche che consentono di gestire l’archivio in modo corretto ed efficace. Nel ciclo di vita del documento, il destino ultimo di questo, cioè la sua archiviazione, assume un aspetto importante perché il documento o il fascicolo escono dalla tenuta regolare e dal presidio operativo.
La conservazione a norma può essere un valido strumento in quanto le Linee guida affermano che “Il sistema di conservazione assicura, dalla presa in carico fino all’eventuale scarto, la conservazione dei seguenti oggetti digitali in esso conservati, tramite l’adozione di regole, procedure e tecnologie, garantendone le caratteristiche di autenticità, integrità, affidabilità, leggibilità, reperibilità: a) i documenti informatici e i documenti amministrativi informatici con i metadati ad essi associati; b) le aggregazioni documentali informatiche (fascicoli e serie) con i metadati ad esse associati contenenti i riferimenti che univocamente identificano i singoli oggetti documentali che costituiscono le aggregazioni medesime, nel rispetto di quanto indicato per le Pubbliche Amministrazioni nell’articolo 67, comma 2, del DPR 445/200042 e art. 44, comma 1-bis, CAD.
Il sistema di conservazione garantisce l’accesso all’oggetto conservato per il periodo previsto dal piano di conservazione del titolare dell’oggetto della conservazione e dalla normativa vigente, o per un tempo superiore eventualmente concordato tra le parti, indipendentemente dall’evoluzione del contesto tecnologico.”
Le caratteristiche di autenticità, integrità, affidabilità, leggibilità, reperibilità costituiscono gli elementi per i quali i documenti mandati in conservazione possono avere un maggior valore di legalità e di conferma dell’Accountability del titolare.
L’art.5 del Regolamento Europeo 679 del 2016 presenta una serie di principi a cui il titolare si deve attenere per garantire la sua credibilità. Il processo di conservazione collegato al piano di classificazione consente di dare contezza di alcuni principi, come quello di minimizzazione, oppure limitazione della conservazione (data retention) dei dati personali. D’altra parte poter garantire con valenza legale la liceità della correttezza del trattamento dando prova formale del rispetto degli articoli 6 e 13 del GDPR consente al titolare del trattamento dei dati personali di rinforzare la sua accountability, ma anche, e soprattutto, di garantire la data protection.
In qualche modo, e forse inevitabilmente, si sta arrivando a quella coincidenza di principi e prassi normative e archivistiche che potrebbero consentire di garantire con sempre maggiore forza il rispetto dei diritti dei cittadini, ma anche di rafforzare il ruolo dell’archivistica nella società moderna così ricca di dati e di informazioni che inevitabilmente vanno ordinate e organizzate per essere consultate.
Note
- Chiara Ciccia Romito e Susanna Viggiani, https://www.altalex.com/documents/2022/03/08/ilmanuale-di-conservazione-digitale-le-regole-per-la-redazione
- Possiamo affermare che ormai il documento è elettronico o digitale ab origine e non in via incidentale.
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9283921 178
Articolo originale consultabile al link:https://www.clioedu.it/marketplace/elenco-completo/item/n-2022-2-rivista-elettronica-di-diritto-economia-management