Fibrillazione fra addetti tecnici in ambito GDPR, PA e conservazione documentale dopo la newsletter del Garante Privacy del 21 maggio 2020 “Conservazione documenti digitali: il Garante privacy chiede maggiori tutele”.
Il Garante per la Privacy solleva attraverso la propria newsletter una serie di incongruenze fra un documento tecnico dell’AgID e il GDPR. Di fatto comunica in maniera sintetica i contenuti degli ultimi pareri, per sottolineare che AgID non abbia fatto tesoro delle precedenti osservazioni, in cui sollevava più o meno gli stesse criticità.
La notizia quindi di per sé ha rilevanza più che per il contenuto per la modalità utilizzata, perché invece di comparire fra l’elenco dei provvedimenti quotidiani emanati e rintracciabili sul sito del Garante, ci è stata recapitata a casa attraverso la newsletter ufficiale.
Parrebbe che il Garante abbia voluto dare maggior enfasi al proprio parere elevandolo a notizia degna d’interesse per il grande pubblico, tanto che è stata prontamente riportata dai media e anche noi oggi qui ce ne stiamo occupando.
La storia invero ha inizio un anno fa e come tutto ciò che riguarda la P.A. è un poco contorta.
Il protagonista di questa storia è un allegato tecnico, che accende i riflettori su una questione ben più ampia relativa a quella che appare una profonda lacunosità nell’applicazione del GDPR nelle “Linee guida sulla Formazione, gestione e conservazione dei documenti informatici” e persino dello stesso CAD, come vedremo nella sezione successiva.
La genesi delle Linee guida su conservazione documenti digitali
Un anno fa, il 17 maggio 2019 con determinazione N° 160, l’AgID avvia il percorso per arrivare alla stesura di nuove Line guida nell’ottica una semplificazione normativa, di aggiornare le regole tecniche concernenti la formazione, protocollazione, gestione e conservazione dei documenti informatici.
Perché l’AgID senta la necessità di questo aggiornamento richiede un salto all’indietro di altri 2 anni, all’Art. 63 del D.Lgs.127/2017, che ha modificato, tra gli altri, l’art. 71 del Codice dell’Amministrazione digitale CAD.
L’obiettivo di individuare uno strumento di regolazione più flessibile (le Line guida) rispetto alle regole tecniche introdotte dal D.Lgs. 82/2005, risponde alle richieste della Legge di delega L. 124/2015 al Governo in materia di riorganizzazione delle amministrazioni pubbliche, che all’articolo 1, comma 1, lettera m) elenca, tra i principi e i criteri direttivi delle modifiche al CAD, quello di semplificare le modalità di adozione delle regole tecniche e assicurare la neutralità tecnologica delle disposizioni del CAD, semplificando allo stesso tempo il CAD medesimo in modo che contenga esclusivamente principi di carattere generale.
Nell’ottobre 2019 con la determinazione N° 340, l’AgID definisce le linee guida da realizzare e nomina i referenti per la stesura delle medesime.
Sempre in ottobre l’AgID, come da procedura chiede un parere formale al Garante Privacy.
Tra Novembre e Dicembre, sempre come da procedura, l’AgID chiude le consultazioni pubbliche su:
- Linee guida sulla formazione, gestione e conservazione dei documenti informatici
- Linee Guida per la stesura del piano di cessazione del servizio di conservazione dei documenti digitali.
Il Garante Privacy risponde il 13 Febbraio 2020 con il Parere “Linee Guida sulla Formazione, gestione e conservazione dei documenti informatici” chiedendo maggiori tutele, sottolineando la necessità del“l’adozione di misure tecniche ed organizzative adeguate avendo riguardo anche ai principi della protezione dei dati fin dalla progettazione e per impostazione predefinita (artt. 5, 24 e 25 del Regolamento)”.
Il 16 Aprile 2020 il Garante Privacy risponde di nuovo all’AgID con il Parere “Linee guida per la stesura del piano di cessazione del servizio di conservazione dei documenti digitali”.
Ma perché proprio ora ci troviamo a discutere di questo documento?
Il CAD all’Art. 29 (qualificazione e accreditamento) stabilisce che per l’accreditamento a svolgere l’attività di conservatore dei documenti informatici si debbono possedere i requisiti previsti dell’articolo 24 del Regolamento UE “eIDAS” (910/2014) il quale al paragrafo 1 lettera i) “dispone di un piano di cessazione delle attività aggiornato per garantire la continuità del servizio conformemente alle disposizioni verificate dall’organismo di vigilanza a norma dell’articolo 17, paragrafo 4, lettera i)”.
Linee Guida per la stesura del piano di cessazione del servizio di conservazione dei documenti digitali
Come detto il protagonista di questa storia è un allegato tecnico, che accende i riflettori su una questione ben più ampia e relativa a quella che appare una profonda lacunosità nell’applicazione del GDPR nelle “Linee guida sulla Formazione, gestione e conservazione dei documenti informatici” e persino dello stesso CAD, come vedremo nella sezione successiva.
Il monito che il Garante lancia all’AgID attraverso la propria newsletter ha come incipit: “L’AgID dovrà stabilire regole più precise per fare in modo che i soggetti che si occupano di conservazione dei documenti informatici rispettino a pieno la normativa sulla protezione dei dati personali, nel caso in cui la fornitura del servizio offerto a PA e a privati venga a cessare”.
Ma entriamo nel dettaglio del parere (provvedimento 74 del 16 aprile 2020).
Il Garante evidenzia diverse lacune e inottemperanze relativamente all’Art. 32 del GDPR in merito all’adozione di misure tecniche e organizzative adeguate a garantire la protezione dei dati personali contenuti nei documenti oggetto di conservazione, o comunque trattati. Da qui il titolo altisonante sia di questo articolo che della newsletter “Il Garante privacy chiede maggiori tutele”.
Le lacune individuate sono:
– “Terze parti coinvolte” (par. 4): Il documento dovrà, nel caso in cui il Titolare si avvalga di soggetti esterni per attività che comportino il trattamento di dati personali, specificare che questi siano gestiti in conformità all’Art. 28 GDPR e nominati Responsabili del trattamento;
– “Analisi dei rischi” (par. 5): Il Garante evidenzia che deve essere compiuta anche una valutazione specifica relativa ai rischi connessi al trattamento dei dati personali trattati nell’ambito del servizio, anche sulla base delle attività di analisi dei c.d. pacchetti di archiviazione (par. 7.5), in termini di tipologia di dati conservati in conformità agli Art. 9 e 10 GDPR (es: particolari categorie di dati personali o dati relativi a condanne penali e reati, contenuti nelle diverse tipologie documentali conservate);
– “Programmazione delle attività di cessazione” (par. 6): Si richiede che venga previsto il coinvolgimento del RPD Responsabile per la Protezione dei Dati nel processo di;
– “Comunicazione al cliente del servizio” (par. 7.2): Il Garante evidenzia la neccessità di specificare con riferimento anche all’art. 28 GDPR (par. 3, lett. G), che si imponga al responsabile (conservatore), precisi obblighi in materia di restituzione dei dati al Titolare (produttore);
– “Comunicazione al cliente del servizio” (par. 7.2): Il Garante precisa che la comunicazione o il “Trasferimento e presa in carico da parte del soggetto subentrante” (par. 7.10), avvenga solo su espressa indicazione del Titolare, previa designazione del soggetto subentrante quale responsabile del trattamento, in conformità all’art. 28 GDPR;
– “Trasferimento degli archivi di conservazione” (par. 7.6): Si sottolinea l’adozione di adeguate misure di sicurezza volte a garantire il rispetto dell’art. 32 GDPR, avuto riguardo alla riservatezza, integrità e disponibilità dei dati contenuti nei documenti conservati;
– “Cancellazione degli archivi di conservazione” (par. 8): Il Garente specifica che la cancellazione deve avvenire con modalità sicure e che “il congruo periodo di tempo”, nel corso del quale il conservatore cessante deve garantire l’accessibilità di documenti e dati, sia individuato precisamente nel Piano di cessazione.
Infine il Garante suggerisce inoltre di individuare anche idonee procedure per la gestione delle violazioni di dati personali, in conformità a quanto previsto dall’art. 33 e seguenti del Regolamento.
Come detto appare evidente, sia da quanto discusso che da atri documenti e pareri che il problema sia più ampio.
A titolo di esempio citiamo anche il Parere sullo schema di “Linee guida – La Sicurezza nel procurement ICT” predisposto da AgID, e emesso con provvediemnto N° 16 del 30 gennaio 2020 e relativo alla selezione di fornitori mediante gare d’appalto nella pubblica amministrazione. Il Garante anche in questo caso si preoccupa della mancanza di coerenza fra tale documento e il Regolamento Europeo 679/2016 di cui è posto a sorveglianza. Scorrendo il parere i maggiori elementi di criticità sono il non rispetto degli articoli 28, 32, 33 del GDPR.
Linee Guida sulla Formazione, gestione e conservazione dei documenti informatici
Lo stesso Garante, nella newsletter di cui abbiamo già parlato, nelle proprie conclusioni segnala che i temi affrontati e le evidenze segnalate nel proprio parere relativo alla Linea guida per la stesura del piano di cessazione del servizio di conservazione dei documenti digitali, erano già emersi e evidenziati a AgID in diversi precedenti documenti.
La bozza Linee Guida sulla Formazione, gestione e conservazione dei documenti informatici già passata in consultazione pubblica e ora sotto esame dalla Commissione europea per verificare possibili impatti sul mercato interno, è stata puntualmente vagliata dal Garante Privacy con il provvedimento 32 del 12 febbraio 2020.
Noteremo nelle righe successive che gli errori sembrano essere sempre gli stessi, quasi vi fosse una sorta di recidiva.
Le Linee guida avente lo scopo di semplificazione la normativa e le regole tecniche concernenti la formazione, protocollazione, gestione e conservazione dei documenti informatici, abrogando interamente o parzialmente una serie di regole tecniche risalenti al 2013 e al 2014, sembra però ignorare e gestire superficialmente le prescrizioni del GDPR.
I rilievi privacy del Garante su conservazione documenti digitali
Ma vediamo le evidenze sollevate dal Garante per la Privacy.
Uniformità
Una prima rilevazione fatta dal Garante è di una uniformità e semplificazione lessicale all’interno del documento per evitare facili incomprensioni o evitare che ci si imbatta in interpretabilità e applicazioni soggettive di alcuni passaggi.
Il “sistema informatico” nell’ambito del capitolo 3 ha tre distinte nozioni, ingenerando possibili fraintendimenti.
Le “Misure di sicurezza” per la gestione documentale (par. 3.9) e la “Sicurezza del sistema di conservazione” (par. 4.11), prevedono indicazioni diverse come se il livello di sicurezza in fase di gestione fosse meno stringente di quello relativo alla conservazione. A titolo esemplificativo l’Art. 32 GDPR sulle Misure di Sicurezza viene citato solo in fase di Conservazione e non anche in fase di gestione.
Sempre relativamente alle definizioni il Garante suggerisce di inserire nell’Allegato 1 “Glossario” la definizione della figura del RPD più volte citato e mai definito. Tale indicazione potrebbe apparire scontata ma se consideriamo quanto poco sia ancora oggi presente e pienamente implementata la figura del Responsabile della Protezione di Dati, definirlo e specificarne i compi in sintonia con gli art. 37 e 38 del GDPR, potrebbe essere d’aiuto.
Inoltre con riferimento al “Piano della sicurezza del sistema di gestione informatica dei documenti” e al “Piano della sicurezza del sistema di conservazione”, il Garante suggerisce di eliminare l’inciso che fa riferimento all’organizzazione di appartenenza, per evitare fraintendimenti per i quali potrebbero essere presi in esame esclusivamente rischi interni all’organizzazione e non anche quelli che potrebbero verificarsi presso eventuali fornitori esterni. Come vedremo questa piccola precisazione formale parrebbe nascondere una incomprensione di fondo su quale sia la reale catena di responsabilità tipica del GDPR, come vedremo nel punto 2.4 di questo articolo.
La conservazione documentale e le ricadute sui privati
Un secondo elemento di non poco conto che solleva il Garante è riferito direttamente al CAD che all’Art. 3 cita: “Le disposizioni del presente Codice e le relative Linee guida concernenti il documento informatico, le firme elettroniche e i servizi fiduciari di cui al Capo II, la riproduzione e conservazione dei documenti di cui agli articoli 43 e 44, il domicilio digitale e le comunicazioni elettroniche di cui all’articolo 3-bis e al Capo IV, l’identità digitale di cui agli articoli 3-bis e 64 si applicano anche ai privati, ove non diversamente previsto”.
Stando a tale dicitura non è chiaro se alla conservazione dei documenti informatici debbano essere assoggettati indistintamente tutti i soggetti privati, ovvero soltanto quelli ai quali è specificamente affidata, da parte delle pubbliche amministrazioni, un’attività di gestione o conservazione dei documenti informatici.
Maggiori tutele
Il Garante in questo passaggio si preoccupa sia che le indicazioni relative alla sicurezza siano eccessivamente generaliste lasciando troppa discrezionalità in fase di applicazione sia che queste non rispettino appieno il GDPR in diversi aspetti.
Natura del dato: Il Garante suggerisce di specificare che debbano essere adottati accorgimenti e misure che prevedano un incremento del livello di sicurezza, anche in funzione delle tipologie di dati trattati (Art. 9 e 10 GDPR relativi a dati Particolari e giudiziari).
Aggiornamento al GDPR: Il documento in più punti e specificatamente per le misure di sicurezza rimanda a documenti precedenti all’entrata in vigore del GDPR, es. “Linee guida AgID in materia di misure minime di sicurezza ICT per le pubbliche amministrazioni” del 2017 e quindi non includenti le tutele introdotte dal successivo GDPR, relativamente a concetti quali il principio di integrità e riservatezza, i principi di protezione fin dalla progettazione “by design” e per impostazione predefinita “by default” (Art. 25), e alla Sicurezza del trattamento (Art. 32).
Segregazione: nel caso di esibizione dei documenti (par. 4.10), soprattutto nell’ipotesi di esternalizzazione del servizio di conservazione, il Garante suggerisce di specificare che, nel consentire l’accesso diretto, ai soggetti autorizzati, anche da remoto, agli oggetti digitali conservati, i sistemi di autenticazione informatica debbano garantire modalità di accesso diverse, in funzione delle tipologie di dati personali trattati, nonché delle operazioni di trattamento consentite.
Ruoli e responsabilità
Il Garante suggerisce di evidenziare la catena di responsabilità in materia di conservazione documentale, evidenziando che il dovere di adottare e mettere in atto tutte le misure di sicurezza adeguate ricade, in primo luogo, in capo al titolare del trattamento (Art. 24 GDPR) e tale passaggio non sembra pienamente chiaro nemmeno all’AgID, che scrive “Il responsabile della gestione documentale […] predispone il piano della sicurezza del sistema di gestione informatica dei documenti, mettendo in atto opportune misure tecniche e organizzative” (par. 3.9). Ciò se pur in linea con la prassi operativa, è in contrasto con l’Art. 28 GDPR dove è il Titolare a dover mettere in atto le misure tecniche ed organizzative mentre la cui adozioneè demandata al Responsabile. Il medesimo errore è reiterato anche al par. 4.6.
Nell’ambito della “Sicurezza del sistema di conservazione” (par. 4.11) la dicotomia fra richieste AgID e GDPR , appena descritte sembrano perfino acuirsi, in quanto si sembrerebbe sollevare il titolare del trattamento dall’onere di indicare/descrivere le misure di sicurezza in quanto afferma: “nel caso di affidamento esterno del servizio di conservazione le misure di sicurezza sono descritte nel manuale del conservatore”.
Esternalizzazione dei servizi
Infine le Line guida pur prevedendo la possibilità per il titolare di esternalizzare alcuni servizi (par. 1.11), non reca disposizioni specifiche in materia di sicurezza ignorando nuovamente le disposizioni dell’Art. 28 GDPR.
Conclusioni
“Queste indicazioni … consentiranno di aumentare la protezione dei dati personali contenuti nei documenti informatici, garantendo la sicurezza del trattamento, anche attraverso una più chiara attribuzione dei compiti e una corretta ripartizione delle responsabilità. Tali integrazioni permetteranno, se applicate, di condurre le pubbliche amministrazioni e le imprese verso una corretta innovazione dei processi, per una digitalizzazione a prova di privacy, riducendo i rischi per i diritti e le libertà degli interessati”.
Queste parole, mi sono sembrate perfette per sintetizzare la richiesta di maggiore tutela da parte del Garante. Non certo le mie ma semplicemente l’ultimo capoverso della newsletter del Garante inviata ieri 21 maggio 2020.
