Il CAD (Codice Amministrazione Digitale) e la normativa in vigore impone che la conservazione e la privacy si tengano per mano. Infatti il DPCM del 3 dicembre 2014 cita: Art 7: ” il responsabile della conservazione, di concerto con il responsabile della sicurezza e, nel caso delle pubbliche amministrazioni centrali, anche con il responsabile dell’uffi cio di cui all’art. 17 del Codice, provvede a predisporre, nell’ambito del piano generale della sicurezza, il piano della sicurezza del sistema di conservazione, nel rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 del decreto legislativo 30 giugno 2003, n.196 e dal disciplinare tecnico di cui all’allegato B del medesimo decreto, nonché in coerenza con quanto previsto dagli articoli 50 – bis e 51 del Codice e dalle relative linee guida emanate dall’Agenzia per l’Italia digitale. Le suddette misure sono descritte nel manuale di conservazione di cui all’art. 8”.
Le Nuove Regole Tecniche riportano:
Art. 12:
“2. I soggetti privati appartenenti ad organizzazioni che già adottano particolari regole di settore per la sicurezza dei sistemi informativi adeguano il sistema di conservazione a tali regole. Gli altri soggetti possono adottare quale modello di riferimento le regole di sicurezza indicate dagli articoli 50 -bis e 51 del Codice e dalle relative linee guida emanate dall’Agenzia per l’Italia digitale.I sistemi di conservazione rispettano le misure di sicurezza previste dagli articoli da 31 a 36 e dal disciplinare tecnico di cui all’allegato B del Codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196.”
La Privacy, come noto, viene normata dal Dlgs 196/03, dai provvedimenti dell’Autorità Garante e dalle sentenze giuridiche. Quindi possiamo affermare che se vogliamo conservare i documenti, dobbiamo essere adesi alla norma sulla Privacy. Ma affrontiamo la questione da un altro punto di vista.
Nelle operazioni di trattamento dei dati vengono prodotti dei documenti “nativamente” digitali. Possiamo portare come esempio: i log, le immagini sanitarie, i dB contenenti variati tipi di informazioni, le immagini della videosorveglianza, il dossier sanitario elettronico, le pec, le lettere di nomina, i consensi acquisiti elettronicamente, etc.
L’elenco è molto lungo e forse non basterebbe questo foglio ad elencarli tutti.
Ma se questi documenti sono documenti digitali, vengono correttamente conservati? Non mi riferisco all’archiviazione o alla “conservazione” nel server, ma mi riferisco proprio alla Conservazione che permetta di dare al documento una validità intrinseca opponibile a terzi.
Immaginiamo di non conservare i consensi, anche solo quelli per ricevere delle comunicazioni commerciali, forniti attraverso un form su un sito web. Saremmo in grado di dimostrare l’effettiva volontà dell’interessato di acconsentire l’invio di materiale pubblicitario? Nel caso l’interessato faccia valere i suoi diritti (ex art 7 Dlgs 196/03) saremmo in grado di soddisfare la richiesta?
Oppure possiamo dimostrare la non manomissione delle immagini della videosorveglianza conservate?
Ecco che allora si pone un problema, se da un lato la normativa ci impone di essere conformi al Dlgs 196/03 dall’altro dobbiamo conservare a norma i documenti. Vale in questo caso la proprietà commutativa. Se devo essere a norma devo essere a norma in tutti e due i campi.
Molte volte sfugge questo secondo passaggio, siamo quasi conformi al Dlgs 196 ma ci dimentichiamo di conservare correttamente i documenti. Bisogna quindi prestare molta attenzione a non sottovalutare la conservazione dei documenti affinché abbaino valore intrinseco e non solo da un punto di vista probatorio.
Il nuovo regolamento europeo, prossimo nella sua uscita, inserisce vari concetti, ne riportiamo qualche esempio:
Articolo 7 Condizioni per il consenso
1 bis. Qualora si applichi l’articolo 9, paragrafo 2, lettera a), il responsabile del trattamento deve essere in grado di dimostrare che l’interessato ha espresso il proprio consenso esplicito.
Articolo 22 Obblighi del responsabile del trattamento
1. Tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità del rischio per i diritti e le libertà delle persone fisiche, il responsabile del trattamento (…) mette in atto opportune misure ed è in grado di dimostrare che il trattamento dei dati personali è effettuato conformemente al presente regolamento.
Articolo 28 Registri delle categorie di attività di trattamento dei dati personali
1. Ogni responsabile del trattamento (…) ed eventuale rappresentante del responsabile del trattamento conserva un registro di tutte le categorie di attività di trattamento dei dati personali effettuate sotto la propria responsabilità. 3 bis. I registri cui si fa riferimento ai paragrafi 1 e 2 bis sono tenuti in forma scritta, anche in formato elettronico o in qualunque altro formato non leggibile ma convertibile in un formato leggibile.
Articolo 31 Notifica di una violazione dei dati personali all’autorità di controllo
4. Il responsabile del trattamento documenta la violazione dei dati personali di cui ai paragrafi 1 e 2, incluse le circostanze in cui si è verificata, le sue conseguenze e i provvedimenti adottati per porvi rimedio.
Articolo 37 Compiti del responsabile della protezione dei dati
d) garantire la conservazione della documentazione di cui all’articolo 28;
E’ risaputo, infatti, che secondo quanto disposto nel nuovo regolamento europeo, tutti, aziende e/o PA, hanno l’obbligo di conservare a norma tali documenti, il che significa che per evitare “brutte sorprese”, sarà necessario conformarsi a tale regolamento al più presto, tenendo conto quanto ampiamente esposto poc’anzi, sia in fatto che in diritto, come evidenziato già in questo articolo.
