Bucap Servizi di digitalizzazione documentale
Contatti
Contatti
gdpr archivi

GDPR e gestione degli archivi cartacei e digitali: come adeguarsi alla normativa


GDPR e gestione degli archivi cartacei e digitali: come adeguarsi alla normativa



I cambiamenti, benché la normativa sia ormai entrata in vigore da un po’, continuano a creare qualche problema sia nel settore pubblico sia nel settore privato. Ma la tutela dei dati personali non può essere un elemento opzionale, bensì un valore aggiunto.

Il Regolamento Ue 2016/679, meglio noto con l’acronimo GDPR (che sta per General data protection regulation) è applicabile in tutti gli Stati membri dell’Unione europea a partire dal 25 maggio 2018. Le norme e le indicazioni in esso contenute hanno avuto tutta una serie di conseguenze in diversi ambiti. Anche per la gestione degli archivi: ecco, al riguardo, quali sono gli elementi fondamentali da conoscere per adeguarsi alla normativa.

Temi

Il GDPR: com’è cambiata la protezione dei dati

Il GDPR è stato introdotto per rispondere a delle specifiche esigenze. In un periodo molto delicato, in cui si discuteva, a livello mondiale, dell’eccessiva “leggerezza” con la quale si trattavano, specialmente tramite gli strumenti digitali, i dati personali, si è cercato di dare una risposta: il General data protection regulation vuole dare certezza giuridica e semplificare le norme.

Cosa si intende per dati personali

Per dato personale si intende qualunque tipo di informazione che possa indentificare, direttamente o indirettamente, un individuo in maniera univoca, e che possa fornire informazioni sulle sue caratteristiche, sulle sue abitudini, il suo stato di salute, sulla sua situazione economica, eccetera. Nome, cognome e residenza sono solo alcuni dei dati che possono essere considerati personali.

L’articolo 2 e l’articolo 4

In via preliminare, occorre specificare e riportare due concetti che sono esplicitati nell’articolo 2 e nell’articolo 4 del GDPR.

Articolo 2, comma 1:

Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

Articolo 4, comma 6:

Archivio [è] qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico.

Data questa definizione di archivio, il GDPR si applica a una casistica molto elevata, che può andare da database di numeri di telefono ad archivi dove sono contenuti atti e documenti.

Le principali novità introdotte dal GDPR

  • Norme più dettagliate sul consenso al trattamento dei dati personali;
  • Nuovi limiti, anch’essi più chiari e definiti, sul trattamento dei dati personali (tempo massimo del trattamento e cosiddetto diritto all’oblio);
  • Misure più stringenti per il trasferimento dei dati tra Stati dell’Unione europea;
  • Concetto di privacy by design e di privacy by default;
  • Figura del Responsabile della protezione dei dati (DPO).

Questo in linea di massima. Vale poi la pena soffermarsi su altre due novità, anch’esse di fondamentale importanza.

  • Portabilità dei dati. Il GDPR stabilisce norme e modalità affinché i dati personali possano essere trasferiti da un titolare di trattamento a un altro.
  • Il principio di responsabilizzazione. GDPR e accountability vanno di pari passo. La normativa stabilisce che i titolari del trattamento debbano prendere in considerazione i rischi che determinate modalità di trattamento dei dati possano avere per i soggetti interessati.

Linee guida sull’applicazione del GDPR negli archivi

Si sarà capito: gestire un archivio in ottemperanza a quanto stabilito dal GDPR è una faccenda complessa. Per dare delle indicazioni e delle best practice da seguire per gestire al meglio la cosa, lo European archives group ha stilato le Linee guida sull’applicazione del Regolamento europeo protezione dati personali negli archivi (Guidance on data protection for archive services).

Le Linee guida si occupano solo del trattamento dei dati personali contenuti nei complessi documentari conservati negli archivi. Sul trattamento dei dati conservati negli archivi storici non esistevano indicazioni, per questo lo European Archives Group ha redatto le Linee guida. Il testo è rivolto alle organizzazioni archivistiche pubbliche e private e a tutti gli istituti di conservazione (musei, fondazioni, biblioteche).

Ecco dove consultare il testo integrale delle Linee guida.

Aspetti da definire

Il GDPR è molto ampio, complesso, e non sempre esaustivo, preciso e risolutivo come si vorrebbe: questo è un dato di fatto. Tra le sue norme, ce ne sono diverse che lasciano adito a non pochi dubbi e sollevano interrogativi non di poco conto. Dal punto di vista della gestione degli archivi, i più importanti sono questi.

Diritto all’oblio, conservazione dei dati e pubblico interesse

Articolo 17:

L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali.

La cancellazione dei dati si effettua se:

  • I dati personali non sono più necessari al fine per il quale sono stati raccolti;
  • La persona revoca il consenso al trattamento dei dati personali;
  • Non sussiste più alcun motivo legittimo per proseguire con il trattamento dei dati;
  • I dati personali sono stati trattati illecitamente;
  • I dati personali devono essere cancellati secondo quanto previsto dalle leggi in vigore nell’Unione o nello stato membro;
  • I dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione.

Però, a parziale smentita di quanto riportato sul diritto all’oblio, c’è un passaggio dell’articolo 5:

I dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.

In entrambi i casi, la questione verte su un concetto non completamente definito: quello di pubblico interesse. Il GDPR non specifica cosa si intenda per “pubblico interesse” e in quali ambiti si applichi il concetto.

I problemi per gli archivi privati

Un problema di altro tipo ma altrettanto delicato riguarda gli archivi privati. In particolare, riguarda quegli archivi privati che non hanno ottenuto il riconoscimento di importante interesse culturale, e riguarda quegli archivi che hanno ricevuto tale riconoscimento solo per una parte dei documenti archiviati: nel loro caso, quindi, il GDPR non si applica? o si applica parzialmente?

A chi affidarsi

Vale la pena ripeterlo:

Gestire un archivio in ottemperanza a quanto stabilito dal GDPR è una faccenda complessa

Per evitare una pericolosa perdita di dati e di incorrere in violazioni ai diritti degli individui, e per non incappare nelle sanzioni previste in caso di non ottemperanza, la soluzione migliore è affidarsi ai professionisti di archiviazione documenti e gestione documentale.

Area Editoriale

AREA EDITORIALE

Una raccolta di articoli per chi vuole approfondire il mondo della gestione delle informazioni e della digitalizzazione.
Workflow automatizzati: risparmia tempo con meno errori
Leggi di più
Documenti riservati in azienda: chi può accedervi e come monitorarlo
Leggi di più
Bucap per l’Istituto Poligrafico e Zecca dello Stato: Una Nuova Era per la Digitalizzazione Pubblica
Leggi di più
Digitalizzazione di archivi storici: perché servono scanner professionali certificati
Leggi di più
Gli strumenti dell’archivista: regole, metodi e tecnologie per governare l’archivio
Leggi di più
5 problemi aziendali che un buon ECM può risolvere subito
Leggi di più