Il cambiamento del supporto dei dati, da analogico a digitale comporta inevitabilmente nuovi problemi di archiviazione e conservazione degli stessi. I dati assumono rilevanza, per diverse finalità, nel lungo periodo, ed emerge dunque la necessità di rendere la gestione e conservazione degli stessi al passo con l’avanzare tecnologico, difatti col tempo a cambiare non sono solo i supporti ma anche le logiche di lettura delle sequenze di bit. Da un punto di vista normativo la conservazione dei dati digitali non è così definita, ciononostante è comunque possibile individuare le caratteristiche che un sistema di conservazione deve assicurare ai dati in esso contenuti: autenticità, integrità, affidabilità, leggibilità e reperibilità.
Il mondo degli archivi digitali rappresenta un’opportunità ancora poco esplorata dal settore privato, ma che offre notevoli potenzialità in ambito di rispetto del GDPR. La tecnologia mette a disposizione strumenti efficaci per garantire una corretta data retention e il rispetto del diritto alla portabilità dei dati personali di cui all’art. 21 del regolamento europeo. Inoltre, gli archivi digitali consentono di eliminare i dati personali per i quali sia scaduto il termine di conservazione, contribuendo così alla compliance normativa. Pertanto, è possibile guardare con fiducia al futuro degli archivi digitali e alla loro capacità di soddisfare le esigenze delle imprese in termini di gestione e protezione dei dati.
Un’opportuna riflessione sul diritto alla portabilità dei dati personali, sancito dall’art. 21 del Regolamento UE n. 679/2016, ci porta a considerare gli archivi digitali come una risorsa preziosa per la loro garanzia. La struttura degli archivi digitali, delineata dal codice dell’amministrazione digitale e dal DPCM 3 dicembre 2013, rappresenta infatti un’opzione altamente interoperabile e in grado di garantire il rispetto delle disposizioni del GDPR, il cui richiamato art. 21 recita:
l’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti”
Ebbene, l’indice del pacchetto di archiviazione contenuto negli archivi digitali, basato sullo standard nazionale SInCRO e costituito da file XML, risponde proprio alla richiesta di un “formato strutturato, di uso comune e leggibile da dispositivo automatico” come indicato nel Regolamento UE. Pertanto, gli archivi digitali si presentano come una soluzione efficace per soddisfare il diritto alla portabilità dei dati personali e garantire la protezione e la gestione sicura delle informazioni.
Per garantire l’esercizio del diritto alla portabilità dei dati personali, è possibile rispondere attraverso la presentazione di dati o documenti correttamente archiviati. Grazie alla struttura interoperabile degli archivi digitali, i dati possono essere consegnati o trasmessi al soggetto interessato in un formato che consente una facile portabilità verso altri archivi.
In questo modo, i dati personali possono essere trasferiti senza alcun problema di interoperabilità, permettendo ai soggetti interessati di esercitare il loro diritto alla portabilità in modo semplice ed efficace. Grazie alla corretta gestione degli archivi digitali, è possibile garantire la protezione dei dati personali e la loro facile accessibilità, facilitando la trasmissione dei dati verso altri archivi e migliorando la qualità della gestione dei dati.
In secondo luogo, va considerato che il titolare del trattamento dei dati personali ha l’obbligo di determinare e rispettare il periodo di conservazione dei dati. Questo compito può essere difficile da eseguire quando i dati sono disseminati su diverse piattaforme o servizi cloud. L’accentramento dello storage dei dati all’interno degli archivi digitali può essere una soluzione da considerare attentamente, poiché può aiutare a garantire la conformità al Regolamento europeo sulla protezione dei dati personali.
L’accentramento dei dati può anche semplificare la gestione del periodo di conservazione dei dati, consentendo al titolare del trattamento di mantenere una panoramica completa su tutti i dati personali raccolti e di determinare il periodo di conservazione per ciascun tipo di dato. Inoltre, l’utilizzo di un archivio digitale centralizzato può garantire la sicurezza e l’integrità dei dati, nonché facilitare il monitoraggio e la verifica delle attività di trattamento dei dati.
La gestione dei documenti digitali è sempre più diffusa e spesso viene affidata a soggetti esterni tramite servizi in outsourcing. Questa scelta comporta numerosi vantaggi, tra cui una maggiore accountability in quanto i dati personali e i documenti sono affidati ad un soggetto sottoposto a rigidi controlli da parte di un’autorità governativa, come accade per i soggetti accreditati da AgID. Tuttavia, è importante ricordare che il titolare del trattamento dei dati personali rimane responsabile della loro conservazione e protezione, anche quando si avvale di servizi in outsourcing. Pertanto, è fondamentale scegliere con attenzione il fornitore di tali servizi e stipulare un accordo che preveda adeguate garanzie in materia di sicurezza e privacy dei dati.
Questa affermazione sottolinea l’importanza di stipulare un contratto tra il soggetto che conserva i dati personali e il titolare del trattamento. Tale contratto deve contenere specifiche clausole che definiscono la durata della conservazione dei dati personali e le modalità di restituzione o di distruzione dei dati alla scadenza del periodo di conservazione. In questo modo, il soggetto produttore ha il controllo sui propri dati personali e può garantire la loro protezione nel rispetto del Regolamento europeo sulla protezione dei dati personali.
L’art. 31, comma terzo, del decreto legislativo n. 231 del 2007, che detta disposizioni in materia di antiriciclaggio, prevede ad esempio espressamente che
i documenti, i dati e le informazioni acquisiti sono conservati per un periodo di 10 anni dalla cessazione del rapporto continuativo, della prestazione professionale o dall’esecuzione dell’operazione occasionale”.
In questo caso, la disposizione legislativa in materia di antiriciclaggio mette in luce l’importanza della conservazione dei dati personali per un periodo specifico di tempo, in questo caso 10 anni, per rispettare le leggi e regolamenti applicabili. Questo esempio evidenzia come la conservazione dei dati personali non sia solo un’obbligazione legale, ma anche una pratica essenziale per garantire la sicurezza e l’integrità dei dati. Inoltre, la custodia dei dati da parte di soggetti accreditati e il rispetto dei periodi di conservazione previsti dalla legge sono ulteriori garanzie per la protezione dei dati personali.
La corretta archiviazione dei dati personali da parte di un conservatore, come descritto, può generare un effetto positivo anche in termini di rispetto della data retention. Il contratto stipulato con il conservatore conterrà l’espressa previsione del termine decennale di conservazione e pertanto, allo spirare dello stesso, il soggetto produttore riceverà un promemoria per decidere la sorte dei documenti e dei dati in essi racchiusi. Se non vi è più alcun interesse residuo alla detenzione dei dati, il soggetto produttore autorizzerà lo scarto, che verrà eseguito direttamente dal conservatore, rispettando la normativa in tema di trattamento dei dati personali.
La scelta di utilizzare archivi digitali conformi alle normative del Codice dell’Amministrazione Digitale e delle Linee Guida tecniche attuative offre importanti vantaggi anche in termini di privacy by default. Ad esempio, l’utilizzo di formati documentali aperti, interoperabili e non proprietari garantisce l’efficacia della strategia di conservazione dei dati e la loro accessibilità nel tempo. Inoltre, il rispetto di tali scelte tecniche consente di garantire una maggiore trasparenza e un’efficace risposta alle richieste di esercizio del diritto alla portabilità dei dati da parte degli interessati al trattamento. Inaltre parole, la corretta gestione degli archivi digitali può offrire risposte valide e concrete in termini di privacy by design e by default, garantendo la tutela dei diritti fondamentali degli interessati al trattamento dei dati personali.
In conclusione, è possibile affermare che la gestione e la protezione dei dati personali sono diventati temi sempre più centrali nella gestione delle organizzazioni, soprattutto in un’epoca in cui la digitalizzazione è sempre più diffusa. Tuttavia, la paura di non riuscire a garantire un adeguato livello di sicurezza non dovrebbe essere un ostacolo alla messa in atto di misure di protezione. Al contrario, dovrebbe rappresentare uno stimolo a sviluppare le migliori strategie per garantire la privacy dei dati, adottando soluzioni come l’utilizzo di archivi digitali sicuri e conformi alle normative in vigore. In questo modo, i soggetti interessati al trattamento dei dati potranno soddisfare le richieste dei propri clienti e rispondere con maggiore efficacia alle esigenze di trasparenza e di tutela della privacy.
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- L’esercizio di poteri pubblici come deroga al trasferimento transfrontaliero di dati personali - Novembre 18, 2024
- Il legittimo interesse del titolare come deroga al trasferimento transfrontaliero dei dati personali - Novembre 11, 2024
- Trasferimento di dati da registri pubblici: le deroghe e i limiti dell’art. 49 del GDPR - Novembre 4, 2024
- L’interesse vitale dell’interessato o di altre persone come deroga al trasferimento transfrontaliero di dati personali - Ottobre 28, 2024
- L’esercizio o la difesa di un diritto in sede giudiziaria come deroga al trasferimento transfrontaliero di dati personali - Ottobre 21, 2024