Il Gdpr rappresenta una ulteriore opportunità per la digitalizzazione dei trattamenti
Una lettura del Regolamento UE 2016/679 tradizionale e “privacy oriented” rischia di compromettere lo sforzo fatto dal legislatore nella direzione della digitalizzazione e dello scambio di dati all’interno dell’Unione. Il Regolamento è molto chiaro: in virtù della rapidissima evoluzione tecnologica, è richiesto che il quadro normativo relativo alla protezione dei dati personali risulti “più solido e coerente […], data l’importanza di creare il clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato interno”.
Il rafforzamento e l’uniformità del quadro normativo relativo all’economia digitale vengono visti, correttamente, come un pre-requisito per favorire la creazione di quel digital single market interno, le cui caratteristiche attuali continuano a costituire la grande debolezza dell’economia europea, quando confrontata con quella americana o cinese.
Questa forte impronta digitale del Regolamento si riscontra in diversi passaggi. Solo come esempio, fra le misure di sicurezza di cui all’Art. 32, si citano esplicitamente tecniche applicabili ai dati conservati su supporti digitali, quali “la pseudonimizzazione e la cifratura dei dati personali”.
Eppure, sono ancora tante le aziende che continuano a fare affidamento su documenti cartacei per svolgere importanti trattamenti di dati personali e che ereditano archivi, costruiti nel passato, in cui risiedono dati personali.Ma come si conciliano queste attività di trattamento con le prescrizioni imposte dal Regolamento? Semplicemente, non si conciliano.
Facciamo due esempi concreti: il primo sull’esercizio dei diritti degli Interessati, il secondo sui tempi di conservazione dei dati personali.
Immaginiamo di dover ottemperare a una richiesta di cancellazione di dati personali e di fare riferimento a un archivio cartaceo destrutturato (come spesso accade in organizzazioni complesse). Per rispondere alla richiesta dell’Interessato sarà necessaria una ricerca, in presenza, nei locali dedicati all’archivio. Sarà inoltre necessaria la cancellazione manuale delle informazioni riferite all’Interessato o la distruzione fisica dei supporti.
Tale ricerca, inoltre, potrà avere successo se i faldoni sono marcati con l’anagrafica del dipendente, ma molto difficilmente riuscirà a individuare documenti cartacei che in maniera trasversale riguardano più Interessati (ad esempio gli atti di una commissione archiviati in relazione a un soggetto, che però riguardano più persone). Un problema analogo si presenta per l’implementazione di azioni atte a garantire i tempi di conservazione dei dati personali. Anche in questo caso, a meno di non avere un archivio ben organizzato su base cronologica, sarà richiesta una ricerca in presenza, da effettuarsi con una certa periodicità, al fine di individuare i documenti cartacei che devono essere distrutti allo scadere dei tempi definiti dal Titolare. Parimenti, sarà necessario procedere con cancellazioni manuali o con la distruzione fisica dei supporti. I due casi in esempio dimostrano le difficoltà (e i costi) generati da processi e archivi cartacei, nel momento in cui si voglia tendere ad una piena compliance alla normativa in ambito protezione dati personali.
(Nella foto: Giorgo Aprile, Data Protection Officer di Ferrovie dello Stato Italiane)
Il Regolamento rappresenta, quindi, una ulteriore opportunità per procedere con la digitalizzazione dei trattamenti, andando finalmente a scardinare consuetudini aziendali oramai prive di senso.
A tal fine vorrei soffermarmi su alcuni aspetti e criticità che tipicamente si riscontrano nella digitalizzazione degli archivi. Una prima criticità, che generalmente terrorizza gli uffici legali delle Società, è relativa all’equivalenza probatoria fra documentazione cartacea e documentazione digitale. Sappiamo tutti che tale equivalenza può essere garantita solo nativamente o attraverso meccanismi di certificazione abbastanza costosi.
Ma l’equivalenza è realmente necessaria? Analizzando i contenuti degli archivi riscontreremo, quasi sicuramente, che buona parte della documentazione non è rappresenta da originali, bensì da copie. Per questi documenti il problema è risolto all’origine, nel senso che la semplice scansione fotografica è sostanzialmente equivalente al documento in archivio.
Per gli originali il discorso è più complesso, ma anche in questo caso la semplice scansione ha comunque valenza probatoria in quanto prova fotografica. La prova fotografica è sufficiente? Nella maggior parte dei casi la risposta è affermativa. La giurisprudenza è orientata univocamente nel considerare sempre, in maniera rigorosa, la copia fotografica come un importante elemento di giudizio.
Fatte queste considerazioni, è evidente che il numero di documenti per i quali è strettamente necessario disporre dell’originale (o di copia digitale autentica) è assolutamente limitato. Tuttavia, anche per questi ridottissimi casi, è possibile ottenere la piena corrispondenza fra documenti originali e documenti digitali, ricorrendo alla certificazione del processo di digitalizzazione. Tale approccio consente di ridurre sostanzialmente i costi, in quanto si passa dalla certificazione della corrispondenza del singolo documento a quella dell’intero archivio, purché tutte le attività di digitalizzazione siano svolte in maniera conforme.
Infine, gli attuali strumenti di data discovery applicati all’archivio digitale, consentono, in maniera agevole, il rispetto degli adempimenti previsti dal Regolamento.
Ma ancora più importante della digitalizzazione degli archivi, è la digitalizzazione dei processi, necessaria per evitare che gli archivi vengano alimentati. Anche in questo caso bisogna intervenire su comportamenti consolidati che vedono nella firma autografa, da apporre su moduli o documenti cartacei, la forma più tutelante di certificazione della volontà, della dichiarazione o della presa visione dell’individuo.
Eppure, esistono alternative altrettanto tutelanti, purché vengano utilizzate precauzioni tecniche alla portata di qualsiasi azienda. Se prendiamo come esempio la gestione dei dipendenti, è opportuno partire da sistemi di identity management in grado di censire rigorosamente e univocamente i dipendenti all’atto dell’assunzione, assegnando loro l’identità digitale che li seguirà nel corso della vita professionale.
A questo primo passaggio dovranno seguire meccanismi di autenticazione rigorosi. Il classico single sign-on con accesso alla postazione di lavoro potrà utilizzarsi per processi di autenticazione a basso rischio, mentre per processi più delicati sarà opportuno un processo di strong authentication, ad esempio tramite one time password. Infine, dovranno essere poste in atto adeguate misure tecniche per garantire la conservazione dei log di accesso (identità) e la tracciatura delle operazioni effettuate sui documenti (flag di accettazione o di presa visione, modifiche di dati o anagrafiche, richieste, reclami etc.) per tutto il tempo necessario che, in alcuni casi, potrà essere anche di diversi decenni. Solo marginalmente sarà invece necessario ricorrere alla firma elettronica avanzata, o alla firma elettronica qualificata, o a forme innovative di certificazione dell’identità digitale.
Il Regolamento nasce con una forte spinta digitale. Le aziende (e i DPO) hanno il dovere di non perdere questa occasione per spingere verso digitalizzazione ed efficienza.
