L’Autorità chiede all’AgID maggiori garanzie per la tutela dei dati personali nella regolamentazione della cessazione dei servizi di conservazione dei documenti digitali
L’AgID dovrà stabilire regole più precise per fare in modo che i soggetti che si occupano di conservazione dei documenti digitali rispettino a pieno la normativa sulla protezione dei dati personali, nel caso in cui la fornitura del servizio offerto a PA e a privati venga a cessare.
E’ quanto chiede il Garante della privacy in relazione alla bozza di “Linee guida per la stesura del piano di cessazione del servizio di conservazione”, predisposte dall’Agenzia per l’Italia digitale nell’ambito dell’attuazione del Codice per l’Amministrazione Digitale (Cad).
Lo schema sottoposto a parere – si legge nella newsletter dell’Autorità – individua regole tecniche e di indirizzo che aiutano il “conservatore” di documenti informatici (come quelli contabili e le dichiarazioni fiscali) a predisporre un piano per la corretta migrazione dei dati che eviti perdite di informazioni, sia in caso di cessazione del servizio che di ritiro dell’accreditamento da parte dell’AgID all’operatore che lo fornisce.
Nel predisporre tale piano, il conservatore deve tenere conto di molteplici variabili e fattori di rischio, tra cui il grado di interoperabilità nei processi di migrazione, l’affidabilità dell’impianto tecnologico, i livelli di aggiornamento e di sicurezza fisica e logica.
Nel parere finale, il Garante privacy ha chiesto all’AgID, di integrare lo schema in modo da assicurare specifiche tutele per i dati personali trattati in linea con il Regolamento europeo in materia, il cosiddetto GDPR.
Le Linee guida, in particolare, dovranno ricordare che la normativa impone al conservatore (che in questo caso riveste il ruolo di responsabile del trattamento) precisi obblighi in materia di restituzione dei dati al produttore (titolare del trattamento). A tale proposito, è importante che nel processo di cessazione venga coinvolto anche il responsabile per la protezione dei dati (cosiddetto Rpd/Dpo).
L’Autorità chiede poi che nelle Linee guida il conservatore sia invitato ad ampliare l’“analisi dei rischi”, tenendo conto di quelli connessi al trattamento dei dati personali valutando, tra l’altro, la presenza di dati personali di categorie particolari, come quelli relativi alla salute, alle condanne penali o a reati. Il conservatore dovrà inoltre adottare adeguate misure di sicurezza per il “trasferimento degli archivi di conservazione”, così da garantire riservatezza, integrità e disponibilità dei dati contenuti nei documenti. Nel piano predisposto, il conservatore cessante dovrà infine indicare per quanto tempo sarà garantita l’accessibilità dei documenti, e definire modalità sicure per la “cancellazione degli archivi di conservazione”.
Queste indicazioni del Garante, insieme a quelle già proposte in un precedente parere sulle “Linee Guida sulla formazione, gestione e conservazione dei documenti informatici” consentiranno di aumentare la protezione dei dati personali contenuti nei documenti digitali, garantendo la sicurezza del trattamento, anche attraverso una più chiara attribuzione dei compiti e una corretta ripartizione delle responsabilità. Tali integrazioni permetteranno, se applicate, di condurre le pubbliche amministrazioni e le imprese verso una corretta innovazione dei processi, per una digitalizzazione a prova di privacy, riducendo i rischi per i diritti e le libertà degli interessati.
Leggi anche:
TEST SIEROLOGICI SUL POSTO DI LAVORO: LE INDICAZIONI DEL GARANTE PRIVACY
