La trasformazione digitale dei processi documentali coinvolge aspetti legati alla privacy, soprattutto nell’ambito della conservazione dei dati personali. Il GDPR impone obblighi al riguardo, per tutelare le libertà e i diritti degli interessati.
Essere compliant è una sfida e una necessità assieme.
Il contesto
Si pensi a ciò che ha comportato e sta comportando l’introduzione della fattura elettronica che, di fatto, ha condotto le aziende lungimiranti a digitalizzare tutti processi legati alla fattura elettronica partendo dall’acquisizione degli ordini, alla gestione e consegna della merce affinché lo strumento della fattura elettronica non fosse vissuto come un problema o un mero adempimento formale ma come un’opportunità per rendere maggiormente efficienti ed efficaci i processi.
Ebbene in questo scenario entra in gioco, in maniera rilevante, il tema della protezione dei dati personali in quanto i processi legati alla privacy impattano in maniera trasversale su tutti i processi aziendali e, nell’era della digitalizzazione della gestione documentale e della conservazione digitale diventa fondamentale proteggere le informazioni che circolano in rete spesso inconsapevolmente. Privacy e conservazione, come è evidente, sono un binomio indissolubile, perché ci si trova sempre a dover conservare documenti contenenti dati personali e il più delle volte documenti contenenti dati sensibili, per i quali, il legislatore prescrive una serie di adempimenti preliminari e obbligatori. Si pensi ad esempio alla cartella clinica elettronica, contenente dati sanitari, alla firma grafometrica contenente dati biometrici.
Va rammentato che il documento informatico viene definito come documento elettronico che contiene la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti. In effetti, le immagini riprese da un sistema di videosorveglianza, immagini sanitarie, ad esempio provenienti da un laboratorio di radiologia, una cartella clinica elettronica, possono essere considerate documenti informatici nella misura in cui rispettano i requisiti previsti dal Codice di Amministrazione Digitale, come da principi di cui al Regolamento Eidas 910/2014. Ciò nonostante, il documento informatico in quanto tale, va conservato secondo le regole tecniche di conservazione di cui al DPCM del 3 dicembre del 2013 e del DPCM del 13 novembre 2014 e le prossime linee guida Agid.
Un caso pratico
Immaginiamo ad esempio di aver conservato un documento nativo digitale contenente una macro che rende lo stesso documento modificabile ogniqualvolta venga aperto. È considerabile un documento informatico valido e opponibile? Inoltre, per garantire le qualità richieste da un documento informatico, un ruolo fondamentale lo ricopre la sicurezza logica del documento stesso, cioè la capacità intrinseca al documento di essere immune dai rischi che minacciano i dati sensibili, l’integrità del documento e dal rischio di mancata reperibilità delle informazioni conservate. La sicurezza logica contrasta ogni minaccia sia che provenga dall’interno alla struttura che dall’esterno, sia di natura accidentale che intenzionale. È chiaro che un piano sulla sicurezza del sistema di conservazione non possa non tenere conto anche dei rischi che riguardano la protezione dei dati.
Immaginare che il sistema sia sicuro al 100% è forse utopistico, pertanto, è necessario effettuare l’analisi dei rischi, il che significa calcolarli, valutarne l’impatto e prendere le misure di sicurezza adeguate e necessarie per evitare che si realizzino. Ma è sufficiente, ad esempio, conservare solo un’immagine ecografica? O dovrò conservare anche il consenso dell’interessato al trattamento del documento stesso? Per rispondere a questa domanda ricordiamo che ai sensi dell’art. 7 comma 1 del Regolamento Europeo n. 679/2016 «il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali». Anche in ottica della responsabilizzazione del titolare del trattamento e del responsabile del trattamento dei dati nel rispetto dei principi di privacy by design e privacy by default è necessario conservare unitamente al documento anche l’informativa e il consenso al trattamento dei dati ivi contenuti, in quanto il titolare ha l’onere di dimostrare che l’interessato ha acconsentito al trattamento dei dati e per quali finalità il consenso è stato acquisito.
La protezione dei dati
In altre parole se il fine della conservazione è anche quello di rendere consultabile ed utilizzabile un documento nel tempo, sicuramente un documento informatico seppur conservato a norma dovrà essere conservato unitamente alle necessarie autorizzazioni al trattamento dei dati ivi contenuti. Resta aperta e oggetto di ampio dibattito in dottrina la problematica inerente la crittografia dei documenti contenenti dati sensibili. Si pensi ad esempio alla conservazione della cartella clinica elettronica o di documenti sanitari di vario genere.
Posto che detti documenti devono essere crittografati prima di essere versati in conservazione e che bisogna prevedere dei livelli di protezione e accesso alla consultazione differenziati per tale tipologia di documenti, eventualmente oscurando alcuni dati e anonimizzandoli, nella pratica ci si pongono una serie di interrogativi di non semplice soluzione. Chi deve provvedere alla crittografia di tali documenti? La conservazione avviene in house o in outsourcing? Cosa posso fare per rispettare la normativa sulla protezione dei dati in tema di crittografia dei dati sensibili senza intralciare e rendere eccessivamente oneroso e gravoso il processo aziendale interno?
Sono quesiti ai quali da un punto di vista normativo è semplice dare risposta in quanto sicuramente i documenti informatici contenenti dati particolari ai sensi dell’art. 9 del GDPR devono essere protetti da crittografia non solo intrinsecamente ma anche in caso di trasmissione via internet. Tuttavia, nella prassi di un laboratorio di analisi abituato ad inviare via email i referti ai pazienti che ne fanno richiesta, parlare di crittografia del documento e di cifratura del canale di trasmissione oggi rappresenta ancora una sfida.
