La conservazione dei documenti è sempre in costante evoluzione. Perché in costante evoluzione sono sia la normativa di riferimento sia, soprattutto, le tecnologie, specialmente quelle digitali.
Il GDPR è la grande tematica (o questione, o problematica, a seconda dei diversi punti di vista) che tiene banco negli ultimi tempi e sarà così anche negli anni a venire. Specialmente per quanto riguarda un aspetto, al tempo stesso, importante e delicato, ovvero quello dell’accountability.
Temi:
- Cos’è il GDPR
- Accountability: definizione, significato, applicazione
- GDPR e accountability: gli strumenti
Cos’è il GDPR
GDPR sta per General data protection regulation, Regolamento generale sulla protezione dei dati. Queste modalità sono stabilite dal Regolamento UE n. 2016/679. Il testo obbliga i titolari del trattamento dei dati a implementare tutte le misure necessarie per garantire che la privacy delle persone sia tutelata.
Le novità sulla conservazione dei dati personali
Il GDPR ha introdotto degli importanti cambiamenti soprattutto per quanto riguarda la conservazione dei dati personali. In particolare:
- Definizione di archivio. Il GDPR, in sostanza, estende il significato del concetto di archivio, che diventa qualsiasi “raccolta strutturata” di informazioni, come numeri, indirizzi, nomi eccetera, quindi non soltanto documenti in senso stretto.
- Tempo di utilizzo dei dati personali. I dati personali di una persona non possono essere utilizzati per un tempo superiore alla finalità per la quale il loro trattamento è stato concesso. Scaduto tale termine, i dati personali vanno necessariamente cancellati.
- Diritto all’oblio. Il cosiddetto “diritto all’oblio” è quanto stabilisce l’articolo 17 del GDPR: l’interessato ha il diritto di ottenere l’immediata cancellazione dei suoi dati personali qualora non fossero rispettate le condizioni alle quali ne ha concesso il trattamento.
- Pubblico interesse. C’è solo un caso in cui i dati personali possono essere conservati per un periodo di tempo superiore a quello concordato: il pubblico interesse, concetto che, però, nel GDPR non è completamente chiarito.
Approfondimento: GDPR e trattamento dei dati personali: cosa bisogna sapere
GDPR e gestione documentale
Essendo così generale, è facile intuire come il GDPR abbia avuto, e avrà ancora, diverse implicazioni negli ambiti più disparati. Oltre al trattamento dei dati personali, l’aspetto di più immediato interesse, ce ne sono molti altri. Come questi, i più afferenti all’ambito della gestione documentale:
- GDPR e gestione degli archivi cartacei e digitali;
- Conservazione documenti e GDPR;
- Certificazione GDPR.
Accountability: definizione, significato, applicazione
Uno dei concetti centrali intorno ai quali ruota tutto il GDPR è quello di accountability. Non è possibile dare una definizione unica a puntuale di questo termine che, parlando di GDPR, assume significati che possono essere diversi.
Proveremo, adesso, a dare una panoramica, il più possibile completa, delle tre principali accezioni nelle quali il concetto di accountability incontra le norme previste dal GDPR.
1. Accountability come responsabilizzazione/responsabilità
Per la prima accezione, il riferimento è l’articolo 5 comma 2 del GDPR:
Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»).
Molto semplicemente, il soggetto al quale viene concesso il trattamento dei dati personali deve, sotto propria responsabilità, garantire di adottare tutte le necessarie misure per la protezione dei dati personali del soggetto. Un concetto ribadito dal comma 1 dell’articolo 24:
[…] il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.
2. Accountability come nomina del responsabile della protezione dei dati
Il GDPR prevede l’obbligo di nominare un responsabile della protezione dei dati in queste tre circostanze:
- Il trattamento dei dati è effettuato da un’autorità pubblica o da un organismo pubblico (con l’eccezione delle autorità giurisdizionali nell’esercizio delle loro funzioni);
- Le attività principali richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- Le attività principali consistono nel trattamento, su larga scala, di categorie particolari di dati personali (origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, dati biometrici, dati relativi alla salute, dati relativi alla vita sessuale o all’orientamento sessuale) o di dati relativi a condanne penali e a reati.
3. Accountability come obbligo di fornire le prove
In questa accezione, l’accountability viene intesa non tanto nel senso come responsabilità ma obbligo di fornire le prove.
In altre parole, il titolare del trattamento dei dati deve sempre essere in grado di produrre prove che attestino:
- Perché è in possesso di determinati dati;
- Che uso ne sta facendo e perché;
- In quale circostanza la persona lo ha autorizzato a gestire quei dati;
- Quali modalità sta usando per la conservazione dei dati.
E questo giusto per citare gli aspetti più importanti, in quanto all’accountability sarebbe molto più complesso e sfaccettato di quanto possa apparentemente sembrare.
GDPR e accountability: gli strumenti
Come fare, quindi, per coniugare le esigenze di GDPR e accountability? Si può ricorrere a tre strumenti di supporto.
Identità digitale
Sotto questo nome rientrano diversi strumenti il cui scopo è autenticare l’identità di una persona. Un esempio di tali strumenti è rappresentato dallo SPID, il Sistema pubblico di identità digitale, che permette al cittadino, tramite username e password, di usufruire di diversi servizi della PA.
Firma digitale
La firma digitale è una firma elettronica qualificata che attesta la provenienza e la veridicità di un dato documento informatico.
Conservazione digitale
Grazie all’utilizzo di specifiche procedure, tecnologie e regole, la conservazione digitale garantisce accessibilità, utilizzabilità, autenticità e reperibilità dei documenti e dei fascicoli informatici, quindi può essere usata per attestare l’effettiva autorizzazione dell’utente all’utilizzo dei propri dati personali.
