Nella newsletter e dello scorso 21 maggio 2020, il Garante della Privacy ha chiesto ad AgID di stabilire regole più rigide per spingere coloro che si occupano della conservazione dei documenti informatici a rispettare la normativa sulla protezione dei dati personali, soprattutto quando cessa la fornitura del servizio.
La richiesta è stata avanzata dopo l’analisi della bozza delle “Linee guida per la stesura del piano di cessazione del servizio di conservazione”, che AgID ha predisposto in relazione all’attuazione del Codice per l’Amministrazione Digitale (Cad).
Nelle linee guida sono indicate regole che il “conservatore” dei documenti informatici dovrebbe seguire per la costruzione di un piano che permetta la corretta migrazione dei dati e che eviti perdite di informazioni.
II piano deve tenere conto delle diverse incognite e dei rischi insiti nella conservazione dei documenti, trai quali figurano anche “l’interoperabilità nei processi di migrazione, l’affidabilità dell’impianto tecnologico, i livelli di aggiornamento e di sicurezza fisica e logica.”
Le regole proposte da AgID necessitano, secondo il Garante, di un’integrazione che assicuri una tutela dei dati personali che sia maggiormente in linea con precetti del GDPR.
Il GDPR impone al conservatore, che diventa il responsabile del trattamento dei dati, obblighi precisi in tema di restituzione dei dati, e richiede che nella cessazione del trattamento venga coinvolto anche il responsabile per la protezione dei dati (Rdp/Dpo)
Il Garante chiede che al conservatore venga richiesto di eseguire un’analisi dei rischi più ampia, comprensiva di una valutazione della presenza di dati personali appartenenti a categorie particolari come la salute o la fedina penale.
Al conservatore deve essere anche richiesto di adottare misure di sicurezza che garantiscano la riservatezza, l’integrità e la disponibilità dei dati contenuti nei documenti informatici nel momento in cui questi vengono trasferiti negli archivi di conservazione. Dovrà anche specificare per quanto tempo è garantita l’accessibilità dei documenti, e specificare modalità sicure per la “cancellazione degli archivi di conservazione”.
Queste indicazioni, insieme a quelle già indicate in un precedente parere del Garante sulle “Linee Guida sulla formazione, gestione e conservazione dei documenti informatici” dovrebbero assicurare maggiore protezione e sicurezza nel trattamento dei dati personali.
La loro applicazione dovrebbe “condurre le pubbliche amministrazioni e le imprese verso una corretta innovazione dei processi, per una digitalizzazione a prova di privacy, riducendo i rischi per i diritti e le libertà degli interessati”.
Raccolta, trattamento e uso dei dati personali dei clienti a prova di GDPR? Scopri i Servizi Privacy di Servicematica.
———
LEGGI ANCHE:
L’avvocato deve conservare digitalmente a norma di legge i documenti informatici.
Fase 2 e privacy: il trattamento dei dati personali in studi e aziende
