Lo stretto Legame tra Digitalizzazione dei processi documentali e Privacy

Privacy, GDPR e Conservazione Digitale : il forte legame della Digitalizzazione a Norma

Pubblicato da
Lo stretto Legame tra Digitalizzazione dei processi documentali e Privacy
Lo stretto Legame tra Digitalizzazione dei processi documentali e Privacy

Il Regolamento Europeo n. 679/2016, che diventerà esecutivo il 25.05.2018, ha introdotto un principio che è destinato a cambiare l’approccio delle aziende nei confronti della compliance alla normativa privacy. Stiamo parlando del concetto di accountability ovvero della “responsabilizzazione” del titolare del trattamento e del responsabile del trattamento dei dati. Ciò che viene richiesto, infatti, ai titolari e ai responsabili è un atteggiamento proattivo teso a prevenire possibili danni. I titolari e/o i responsabili in caso di data breach devono dimostrare di avere adottato un processo complessivo di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, attraverso l’implementazione di processi non occasionali ma sistematici ed organizzati, finalizzati al cd. privacy management.

Tale principio è richiamato dall’articolo 5 che individua il Titolare del Trattamento, art. 24 che introduce il concetto di “adeguate misure tecniche ed organizzative” e non più quelle misure minime di sicurezza di cui all’allegato B del D. Lgs. 196/2003, concetto che invita ad effettuare un’attenta analisi dei rischi imponendo al Titolare del Trattamento di adeguare le misure di sicurezza ai rischi individuati, analizzati e valutati.

Le aziende dovranno, pertanto, rispettare i principi della privacy by design e della privacy by default che richiedono un approccio concettuale innovativo che impone l’obbligo di avviare un progetto prevedendo, fin da subito, gli strumenti a tutela dei dati personali come nel caso della pseudonimizzazione (ad es. le informazioni di profilazione devono essere conservate in una forma che impedisce l’identificazione dell’utente) e della minimizzazione (ad es. i dati raccolti devono essere limitati a quanto necessario rispetto alle finalità per le quali sono trattati).

Ecco perché uno strumento indispensabile di supporto al raggiungimento della compliance al GDPR è rappresentato indiscutibilmente dalla digitalizzazione dei processi aziendali. E’ innegabile, infatti, che l’implementazione di processi di governance digitale che consentano l’acquisizione, la gestione e l’archiviazione elettronica dei documenti, oltre ad accelerare e migliorare la produttività e a ridurre i costi, è fondamentale per consentire ai titolari e responsabili del trattamento di dimostrare e dare evidenza di aver adottato adeguate misure di sicurezza e di aver trattato in modo corretto l’enorme quantità di dati che oggi transitano all’interno di ciascuna azienda.

La digitalizzazione dei processi allo stesso tempo rappresenta, però, un rischio per la privacy in quanto l’intero processo documentale, dall’acquisizione del documento alla conservazione e infime allo scarto, gestito interamente in digitale comporta la necessità di implementare le misure di sicurezza fisiche, (adeguando ad esempio i locali ove sono allocati i server) –  logiche (in quanto bisognerà assicurare la confidenzialità dei dati gestiti “crittografia-anonimizzazione-partizionamento dei dati”), e la sicurezza della rete (specificando il firewall, le sonde di rilevamento intrusione o altri dispositivi, attivi o passivi, che sono responsabili di garantire la sicurezza della rete).

Insomma oggi la tutela della privacy passa inevitabilmente dalla digitalizzazione dei processi.

Privacy e conservazione, come è evidente, sono un binomio indissolubile, perché ci si trova sempre a dover conservare documenti contenenti dati personali ed il più delle volte documenti contenenti dati sensibili, per i quali, il legislatore prescrive una serie di adempimenti preliminari e obbligatori. Si pensi ad esempio alla cartella clinica elettronica, contenente dati sanitari e quindi sensibili, alla firma grafometrica, contenente dati biometrici e quindi sensibili.

Ad ogni modo va detto che il “documento informatico” viene definito come documento elettronico che contiene la “rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”.

Tuttavia, pensare che il documento informatico sia il solo PDF, denota, da un lato la mancata interpretazione che va ricompresa nel Regolamento Eidas 910/2014 recepito dal nostro Codice dell’Amministrazione Digitale.

In effetti, le immagini riprese da un sistema di videosorveglianza, immagini sanitarie, ad esempio provenienti da un laboratorio di radiologia, una cartella clinica elettronica, etc…, possono essere considerate documenti informatici nella misura in cui rispettano i requisiti previsti dal Codice di Amministrazione Digitale, come da principi di cui al Regolamento Eidas 910/2014.

Ciò nonostante, il documento informatico in quanto tale,  va conservato secondo le regole tecniche di conservazione di cui al DPCM del 3 dicembre del 2013 e del DPCM del 13 Novembre  2014.

Immaginiamo ad esempio di aver conservato un documento nativo digitale contenente una macro che rende lo stesso documento modificabile ogniqualvolta venga aperto. E’ considerabile un documento informatico?

Inoltre, per garantire le qualità richieste da un documento informatico, un ruolo fondamentale lo ricopre la sicurezza logica del documento stesso, cioè la capacità intrinseca al documento di essere immune dai rischi che minacciano i dati sensibili, l’integrità del documento e dal rischio di mancata reperibilità delle informazioni conservate. La sicurezza logica contrasta ogni minaccia sia che provenga dall’interno alla struttura che dall’esterno, sia di natura accidentale che intenzionale.

È chiaro che un piano sulla sicurezza del sistema di conservazione non possa non tenere conto anche dei rischi che riguardano la privacy. Immaginare che il sistema sia sicuro al 100% è forse utopistico, pertanto, è necessario effettuare l’analisi dei rischi, il che significa calcolarli, valutarne l’impatto e prendere le misure di sicurezza adeguate e necessarie per evitare che si realizzino.

Ma è sufficiente, ad esempio, conservare solo un’immagine ecografica? O dovrò conservare anche il consenso dell’interessato al trattamento del documento stesso? Per rispondere a questa domanda ricordiamo che ai sensi dell’art. 7 comma 1 del Regolamento Europeo n. 679/2016 “il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.”  Anche in ottica della responsabilizzazione del titolare del trattamento e del responsabile del trattamento dei dati nel rispetto dei principi di privacy by design e privacy by default, cui dev’essere improntata la logica aziendale ai sensi del GDPR, è necessario conservare unitamente al documento anche l’informativa e il consenso al trattamento dei dati ivi contenuti, in quanto il titolare ha l’onere di dimostrare che l’interessato ha acconsentito al trattamento dei dati e per quali finalità il consenso è stato acquisito.

In altre parole se il fine della conservazione è anche quello di rendere consultabile ed utilizzabile un documento nel tempo, sicuramente un documento informatico seppur conservato a norma dovrà essere conservato unitamente alle necessarie autorizzazioni al trattamento dei dati ivi contenuti.

Resta aperta e oggetto di ampio dibattito in dottrina la problematica inerente la crittografia dei documenti contenenti dati sensibili. Si pensi ad esempio alla conservazione della cartella clinica elettronica o di documenti sanitari di vario genere. Posto che detti documenti devono essere crittografati prima di essere versati in conservazione e che bisogna prevedere dei livelli di protezione e accesso alla consultazione differenziati per tale tipologia di documenti, eventualmente oscurando alcuni dati e anonimizzandoli, ci dobbiamo porre alcuni interrogativi.

Chi deve provvedere alla crittografia di tali documenti? La conservazione avviene in house o in outsourcing? Cosa posso fare per rispettare la normativa sulla privacy in tema di crittografia dei dati sensibili senza intralciare e rendere eccessivamente oneroso e gravoso il processo aziendale interno?

Il GDPR pone una sfida concreta alle modalità di registrazione, conservazione e cancellazione dei dati dei cittadini europei. In che misura questo ha comportato un ripensamento di ciò che è, davvero, la gestione documentale delle informazioni nella tua azienda?

Se vuoi approfondire la tematica della Privacy legata alla digitalizzazione dei tuoi processi documentali e come essere pronto alla rivoluzionaria data del 25 Maggio, vai al link qui sotto e Scopri come puoi acquisire tutte le contromisure più efficaci ed immediate per non incorrere in sanzioni anche penali ed evitare di dare i tuoi soldi ai burocrati!

=>> Ecco il link che ti aiuterà a non incorrere in sanzioni anche penali e pari al 4% del tuo fatturato.

2 commenti

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.