Big Data e Privacy

– Di Giuseppe Virgallita

Continua la serie su Big Data e privacy, nell’articolo precedente abbiamo dato un quadro storico dei Big Data e visto già la loro relazione con la privacy.

Continuiamo insieme l’approfondimento!

Il proliferare di dati, dovuto al crescente emergere di nuove tecnologie, metodologie ed opportunità di business, ci pone davanti al delicato problema della privacy.

L’analisi e la gestione dei Big Data comporta, infatti, notevoli criticità dal punto di vista del trattamento dei dati personali e della tutela della riservatezza. Dal punto di vista giuridico è necessario  approfondire le problematiche relative al trattamento dei dati personali, sempre più preziosi ma sempre più a rischio. Questo rapporto fra Big Data e privacy non è affatto semplice ed il Regolamento UE 2016/679 (GDPR), ufficialmente in vigore in Italia dal 25 maggio 2018, ha modificato e reso in parte ancor più complesso lo scenario a livello europeo.

Cosa sono i Big Data?

Secondo la definizione data dal Gruppo di Lavoro dell’Art. 29, i Big data sono “un insieme di un gran numero di operazioni di trattamento dati”. Nello specifico, la crescita a dismisura di questo enorme patrimonio informativo può comportare notevoli rischi per la tutela e la riservatezza dei dati trattati.

Da un punto di vista prettamente aziendale, questo fenomeno implica che i benefici derivanti dall’utilizzo di questa “grande mole di dati” possa essere sfruttata solo a condizione che siano adeguatamente soddisfatte e rispettate le aspettative degli utenti e che sia garantita, in maniera del tutto efficiente, la tutela della privacy. Il Gruppo di Lavoro “Art. 29” ha affermato, altresì, che ai Big Data si applicano tutti i principi fondamentali ispiratori delle normative vigenti in materia di privacy. è evidente inoltre che le caratteristiche intrinseche ed estrinseche dei Big Data richiedano l’adozione di differenti modalità di applicazione dei suddetti principi, al fine di renderli ancor più efficaci, efficienti e adeguati. La logica dei Big Data, ad esempio, si basa sull’accumulo massiccio di dati, mentre il principio di conservazione dei dati per tempi determinati, definiti e strettamente necessari, appare del tutto anacronistico con questa logica.

I dati personali utili a realizzare un progetto Big Data

A fornire una definizione di dato personale ci aiuta il Regolamento UE 2016/679 (GDPR) che definisce dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile”.

Nello specifico, la Foundation for Accountability Information distingue quattro tipologie di dati personali:

  • Provided Data: forniti consapevolmente e volontariamente dagli individui (ad esempio, la compilazione di un modulo/questionario on line);
  • Observed Data: raccolti in maniera automatica (ad esempio, dati raccolti tramite cookie o sistemi di videosorveglianza collegati al riconoscimento facciale);
  • Derived Data: prodotti o derivati da altri dati in modo del tutto semplice e diretto (ad esempio, calcolando la redditività del cliente dal numero di visite ad un negozio, oppure facendo riferimento specifico agli oggetti acquistati);
  • Inferred Data: prodotti utilizzando un metodo logico-analitico complesso, al fine di riuscire a trovare tutte le correlazioni possibili fra i set di dati e utilizzarli per categorizzare o profilare le persone (ad esempio, calcolare i punteggi di credito o predire lo stato di salute futuro di un soggetto). Questa tipologia di dati si basa su calcolo statistico di probabilità e può essere meno “certa e sicura” rispetto ai dati derivati.

Le tipologie di dati descritte, rientrano tutte nel più ampio “genus” di dati personali e, pertanto, devono essere trattate nel pieno rispetto della normativa sulla privacy.

Big Data e Privacy: i principali problemi normativi

Una volta inseriti nei sistemi, i dati contenuti negli strumenti di storage dei Big Data vengono letteralmente “persi di vista”. Il rischio è che siano utilizzati per scopi e finalità diverse rispetto a quelle previste nelle informative e nei consensi raccolti.

Infatti, il tema della informativa privacy e degli annessi moduli di raccolta del consenso è di fondamentale importanza, perché questi documenti devono essere costantemente adeguati e conformi ai principi normativi di riferimento. Inoltre, un’informativa privacy troppo vaga o lacunosa delle generalità del trattamento, determina la nullità del consenso prestato. Infine, giova ricordare che il gran numero delle fonti informative fa sì che i soggetti interessati abbiano molte difficoltà nella comprensione di come i dati vengono trattati ed integrati fra loro.

E per quel che riguarda le informazioni anonimizzate

Anche le informazioni anonimizzate possono, talvolta, presentare notevoli problematiche. Tramite la fusione di diverse banche dati, infatti, si può riuscire a “re-identificare” un soggetto interessato anche attraverso informazioni all’apparenza anonime. Sovente, dunque, l’anonimizzazione dei singoli dati identificatori univoci non è sufficiente per impedire ed escludere la re-identificazione. Infine, gli algoritmi che vengono applicati nello studio e nell’analisi dei Big Data permettono di analizzare in modo automatizzato banche dati di notevoli dimensioni. Queste procedure di analisi generano nuove informazioni e assai di frequente nuovi dati personali. Per questi motivi, è essenziale che chi intende operare sui e/o con i Big Data, consideri il tema della protezione dei dati personali sin dalla fase iniziale di un progetto, attraverso la preventiva interazione di criteri in materia di tutela, garanzia, custodia e protezione dei dati.

Dinanzi ad un quadro così complesso, le Autorità di protezione dei dati, al fine di tutelare il più possibile i diritti dei soggetti interessati al trattamento, hanno ritenuto opportuno raccomandare alle aziende delle linee guide, riassunte nel seguente elenco:

  • Trasparenza delle attività di raccolta dati, elaborazione, uso e la loro condivisione.
  • Consenso espresso degli interessati all’utilizzo dei propri dati per scopi di analisi o di profilazione.
  • Adozione di misure idonee a tutelare i dati ed a garantirne il controllo.
  • Utilizzo, quando possibile, di dati anonimi.
  • Limitazione delle finalità.
  • Accesso ai dati raccolti dei legittimi titolari.
  • Tutela del diritto degli interessati di correggere/modificare i propri dati
  • Configurare le tecniche e le procedure relative ai Big Data

Le regole, un decalogo:

  • Liceità, correttezza e trasparenza: i dati personali devono essere trattati in modo del tutto lecito, corretto e trasparente nei confronti del soggetto interessato. Occorre sempre valutare se l’utilizzo dei dati personali sia nelle ragionevoli aspettative delle persone, considerando anche i metodi di raccolta e di analisi dei Big Data.
  • Consenso: il trattamento è lecito solo se l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità. L’utilizzo dei Biga Data deve essere sempre bilanciato agli interessi del Titolare/Responsabile con quello degli interessati.
  • Limitazioni di finalità: i dati personali devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modalità compatibili con tali finalità.
  • Minimizzazione dei dati: i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità. Occorre, perciò, predeterminare il tempo di mantenimento dei dati e prevedere sistemi di cancellazione.
  • Esattezza: i dati personali devono essere esatti e, qualora sia necessario, devono essere aggiornati.

A margine delle suddette regole, va ricordato che ogni interessato può esercitare in ogni momento e liberamente i propri diritti, fra i quali la cancellazione, l’accesso, la rettifica, la limitazione, l’opposizione, l’oblio.

Big Data e GDPR

Con l’avvento del Regolamento UE 2016/679 (GDPR) è cambiato totalmente l’approccio legislativo in materia di privacy. Non sono più previste infatti le “famose” misure minime di sicurezza ed ogni scelta viene demandata al singolo soggetto Titolare del trattamento.

Ciascun Titolare deve tener conto del costo di attuazione, contesto e la natura dell’oggetto, finalità del trattamento, rischi e gravità per i diritti e le libertà delle persone fisiche. Questi aspetti fanno sì che sia necessario attuare misure tecniche ed organizzative idonee a garantire un livello di sicurezza coerente con il grado del rischio. Inoltre, devono essere adottate procedure per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche-organizzative, per garantire la riservatezza e la sicurezza del trattamento.

Concludendo, la raccolta dei Big Data pone problemi di sicurezza e riservatezza, a cui il GDPR ha cercato di dare una soluzione. Il GDPR, nel medio periodo, prospetta una grande opportunità, sia per le stesse aziende che per i comuni cittadini. Permette infatti di imparare a gestire ed a trattare i dati personali con maggior consapevolezza.

I Big Data possono benissimo convivere con la Privacy, ma è di importanza fondamentale rispettare l’esplicita volontà del singolo fruitore/consumatore.

Read More
Redazione 6 Luglio 2021 0 Comments

Data Breach, uno sguardo giuridico

– Di Giuseppe Virgallita

Sentiamo parlare moltissimo del “Data Breach”, ma che cosa è veramente?

Con il termine “Data Breach” si intende un incidente informatico, di natura intenzionale o colposa, che coinvolge i dati ed i flussi di informazioni digitali.

Il Regolamento UE 2016/679 (GDPR) in materia di protezione dei dati personali fornisce una definizione analitica di Data Breach agli artt. 33 e 34, definendolo come:

“una violazione di sicurezza, accidentale o illecita, che causa la distruzione, la perdita, la modifica, la divulgazione, la diffusione o l’accesso non autorizzato ai dati personali”.

Norton aggiunge che si tratta di “un incidente nella sicurezza durante il quale si assiste all’accesso a delle informazioni senza autorizzazione”.

Queste definizioni ci lasciano evincere che non è necessario che la violazione avvenga a causa di un cyber-attacco.

Quali sono i fattori che determinano un data breach?

Beh, possono essercene diversi.  Un attacco effettuato da un hacker esterno all’organizzazione, oppure da un furto intenzionale perpetrato da un dipendente a danno della propria azienda  (c.d. white collar crimes). Interessante notare che ben oltre il 75% dei casi di data breach sono causati da un errore umano, come la trasmissione o il deposito di un file non sicuro o altamente a rischio, o da comportamenti dei dipendenti, innocui ma idonei a provocare un concreto pericolo per la protezione e gestione dei dati aziendali.

L’Italia è molto spesso coinvolta in casi di violazione dei dati. La sensibilità delle nostre imprese nazionali sulla tematica della protezione dei dati personali, purtroppo, è ancora scarsa. Ne vedremo qualche esempio tra poche righe.

È inoltre da considerare che molti data breach non vengono comunicati tempestivamente e che in alcuni casi ci si rende conto anche a decine di mesi di distanza dal loro epilogo. Basti pensare che il 28 maggio scorso, il GDPR ha compiuto i primi due anni dalla sua entrata in vigore e secondo i dati pubblicati da FederPrivacy, il 7 gennaio di quest’anno, l’intero 2019 si era chiuso con un ammontare totale di sanzioni comminate dalle Autorità Garanti europee pari a circa 410 milioni di euro e con il primato, tutto italiano, per il numero di provvedimenti.

Vediamo più nel dettaglio alcuni casi accaduti in Italia:

  • 14 maggio 2020, data breach occorso nei confronti dell’INPS fra il 31 marzo ed il 1° aprile in occasione dell’avvio della procedura di richiesta di erogazione degli importi a sostegno del reddito, legate alla situazione di emergenza sanitaria. L’INPS ha notificato oltre i termini la violazione all’Autorità Garante per la Privacy ed il 14 maggio la stessa Autorità ha prescritto all’ente previdenziale di comunicare entro i 15 giorni successivi le violazioni dei dati personali a tutti i soggetti interessati coinvolti e di informare, entro 20 giorni, l’Autorità Garante sulle modalità di attuazione di tali comunicazioni, pena la determinazione e la comminazione di una sanzione amministrativa e pecuniaria.
  • 6 marzo, l’Autorità Garante ha sanzionato due licei situati nella regione Campania per aver illecitamente pubblicato sul proprio sito web dati sensibili coinvolgendo in totale 3.500 persone. La sanzione comminata è stata di 4.000,00 € per ciascun istituto scolastico per violazione dei principi di correttezza, liceità, trasparenza e minimizzazione dei dati.
  • 24 gennaio la struttura nosocomiale “Villa Sofia Cervello” di Palermo ha dovuto versare la somma di 15.000,00 € a titolo di risarcimento danno, in favore di un avvocato che aveva intentato una causa per aver visto pubblicato sul sito dell’ospedale i suoi dati personali caricati per errore.
  • 23 gennaio, l’azienda Ospedaliera Integrata di Verona è stata sanzionata per un importo di 30.000,00 € a seguito di un episodio di data breach relativo a tre accessi non autorizzati ed effettuati dai propri dipendenti al dossier denominato “pazienti/dipendenti”.
  • 17 gennaio, ENI Gas e Luce ha avuto due sanzioni amministrative pecuniarie, una pari alla somma di euro 8,5 milioni per illecita attività di telemarketing e di teleselling e l’altra pari a 3 milioni di € per l’attivazione di contratti non richiesti.

Come prevenire gli episodi di data breach

La garanzia della totale sicurezza di un sistema informatico non è facilmente raggiungibile. Alle aziende, viene richiesto dal legislatore europeo di scegliere in completa e totale autonomia un adeguato sistema di sicurezza in relazione alla riservatezza, alla tipologia ed al volume dei flussi di dati trattati. Le linea guida di AGID (Agenzia per l’Italia Digitale) per la Pubblica Amministrazione, unite ai consigli ed alle raccomandazioni predisposte dal Comitato Europeo per la protezione dati personali (EDPB), possono essere un valido punto di riferimento per implementare le misure di sicurezza da adottare nel caso concreto e verificare il gap rispetto all’azienda. Per prevenire e scongiurare un data breach bisogna lavorare bene a partire dalle fasi iniziali del processo di individuazione delle misure di protezione e controllo più adeguate.

È, infatti, possibile evidenziare immediatamente delle vulnerabilità di sicurezza macroscopiche che potrebbero essere sanate con costi assai modesti e contenuti.

Come va valutato il rischio derivante da data breach?

Preliminarmente, occorre distinguere tre macro-categorie di data breach:

  • “Confidentiality Breach”, in caso di divulgazione o di accesso accidentale/abusivo ai dati;
  •  “Avaibility Breach”, in caso di una perdita e/o distruzione accidentale o non autorizzata di dati;
  • “Integrity Breach”, in caso di modifica non autorizzata o accidentale di dati.

L’analisi della violazione deve permettere una valutazione del rischio effettivo di diffusione del dato, anche in funzione delle misure di sicurezza adottate, della tipologia dei dati trattati e del grado di identificabilità delle eventuali persone fisiche coinvolte. Da questa valutazione ne consegue la definizione della scala di priorità delle azioni da intraprendere.

Un valido ed efficace processo di valutazione del data breach si articola nelle seguenti fasi:

  • Individuazione e definizione di una scala di valori di criticità in relazione alle differenti tipologie di dati raccolti o trattati dalle infrastrutture IT aziendali;
  • Valutazione del rischio e dell’impatto del data breach in relazione alle misure di sicurezza adottate;
  • Messa in atto delle azioni di risposta in funzione del tipo di data breach subito e degli investimenti necessari per l’impiego delle risorse necessarie.

Come notificare l’avvenuta violazione dei dati

Il GDPR dispone il dovere di notifica di eventuali violazioni entro il termine massimo di 72 ore, ove possibile senza un ingiustificato ritardo, dal momento in cui si è venuti a conoscenza di detta violazione, salvo che sia altamente improbabile che la violazione rappresenti un rischio per i diritti e per le libertà delle persone fisiche. Il Regolamento UE 2016/679, di fatto, non dispone di nessun obbligo di notifica. Il Garante della Privacy, lo scorso 30 gennaio, ha pubblicato i numeri inerenti all’applicazione del GDPR dal quale emergono 4.704 reclami e segnalazioni su possibili violazioni dei dati e oltre 630 casi acclarati di notificazioni di data breach. Risulta, perciò, prioritario per le aziende private e Pubbliche Amministrazioni un adeguamento urgente e puntuale alle prescrizioni imposte dal GDPR:

A tal scopo, è necessario adottare e predisporre un modello di analisi del data breach, al fine di valutare il rischio e la conseguente necessità di notificare l’avvenuta violazione ai soggetti interessati ed alla Autorità Garante nazionale; dunque, occorre delineare un processo aziendale interno per rispondere prontamente agli incidenti informatici.

Nello specifico, un processo di analisi e valutazione del data breach si dovrebbe articolare in quattro fasi necessarie:

  1. Preparazione specifica e non superficiale;
  2. Reazione;
  3. Comunicazione tempestiva;
  4. Registrazione di tutto ciò che è avvenuto e di quanto è stato fatto.

Verificata l’alta probabilità di rischio per la libertà, la riservatezza ed i diritti degli interessati, si dovranno informare gli stessi senza alcun ingiustificato ritardo, cioè entro 72 ore dal momento in cui l’azienda è venuta a conoscenza ed ha avuto contezza del data breach. Valutare in modo corretto la necessità di comunicazione è di importanza vitale, in quanto una comunicazione non tempestiva e non necessaria potrebbe comportare un danno di immagine e/o di reputazione non indifferente per la stessa azienda.

Le linee guida, c.d. “best practices” di settore, dispongono che:

  • Devono sempre essere privilegiate le modalità di comunicazione diretta (e-mail, SMS, ecc.);
  • Il contenuto delle comunicazioni deve essere il più possibile evidente, semplice e trasparente;
  • È fondamentale tenere conto delle diversità linguistiche e dei formati alternativi di visualizzazione.

Il Regolamento UE 2016/679, tuttavia, stabilisce che sia possibile procedere con una comunicazione di carattere pubblico, qualora la segnalazione diretta richieda oneri non eccessivi per i titolari del trattamento.

Come si conclude un procedimento di data breach

L’articolo 33 del GDPR prescrive che i Titolari del trattamento documentino tutte le violazioni dei dati subite, descrivendo nel modo più dettagliato possibile le circostanze, l’impatto, le conseguenze ed i rispettivi provvedimenti adottati. La correzione, c.d. “remediation”, insieme al continuo miglioramento nella sicurezza del trattamento di dati, è il fine ultimo del legislatore europeo e nazionale.

In caso di data breach, quali sanzioni prevede il GDPR?

Qualora le varie Organizzazioni (Enti Pubblici o imprese private) non dovessero rispettare gli obblighi previsti dal GDPR in materia di data breach, il Regolamento UE 2016/679 prevede sanzioni pecuniarie fino ad euro 10.000,00 oppure al 2% del fatturato mondiale annuo dell’esercizio precedente; se, invece, superiore (primo scaglione), ovvero fino ad euro 20.000,00 o al 4% del fatturato mondiale annuo del precedente esercizio, se superiore (secondo scaglione).

In conclusione, il potenziale pericolo di un data breach ha generato paura e molta confusione all’interno delle Pubbliche Amministrazioni e degli Enti privati. Soprattutto per quanto riguarda il rischio, peraltro molto elevato, di incorrere in pesanti sanzioni pecuniarie. Per prevenire il verificarsi di un rischio di data breach ed essere pronti a fronteggiarlo correttamente è cruciale adottare specifiche metodologie. Dunque, è consigliabile avvalersi della collaborazione e dell’esperienza di professionisti del settore, al fine di evitare danni di natura economica e reputazionale che possono avere un impatto sull’azienda e sulla sua immagine.

Sarebbe inoltre auspicabile che ogni azienda privata o Pubblica Amministrazione decida di dotarsi  dell’aiuto di un Responsabile della protezione dati (DPO). Il DPO raccorda il Titolare (inteso come azienda o Pubblica Amministrazione nella sua totalità), i dipendi per la gestione dei dati e l’Autorità Garante nazione, realizzando, così l’accountability, principio cardine che permea l’intero impianto normativo del GDPR.

Read More
Redazione 20 Aprile 2021 0 Comments

Smart Working e Privacy, temi per il post-pandemia

di Giuseppe Virgallita

Smart working e privacy sono tra i temi più discussi di questo periodo, complice la pandemia da Covid-19 che ha stravolto le modalità di lavoro.

In termini pratici si tratta di una modalità lavorativa per la quale i lavoratori operano da una sede diversa da quella legale. Lo smart working sembra essere la novità del 2020, tuttavia in passato era già stato utilizzato da alcune aziende. Oggi si rivolge per lo più ad attività di natura impiegatizia. Utile a conciliare e bilanciare lo stile e le aspettative di vita con il lavoro, rappresenta un benefit per il lavoratore e una strategia di ottimizzazione per l’azienda.

Smart Working e Privacy

Lo smart working è diventata una modalità capace di garantire la continuità lavorativa pur permettendo ai lavoratori di restare nelle proprie abitazioni. Ciò riduce le possibilità di contagio e permette all’azienda una più efficace applicazione dei protocolli di sicurezza.

L’azienda deve fornire precise e puntuali istruzioni sullo smart working.

Dalla predisposizione dell’ambiente di lavoro alla sicurezza, del lavoratore e dell’azienda.

Una delle problematiche poste dallo smart working concerne il tema della privacy dei dati, dunque è opportuno inquadrarne i riferimenti normativi e delle linee guida.

La Legge del 22 maggio 2017 n.81 “Misura per la tutela del lavoro autonomo non imprenditoriale e misure volte a favorire l’articolazione flessibile nei tempi e nei luoghi del lavoro subordinato” ha introdotto il regolamento formale sullo smart working.

In questo contesto, il tema della privacy e della riservatezza dei dati personali assume particolare preminenza sia per il lavoratore, sia per l’impresa. Quest’ultima tende a rinunciare ad una parte del suo potere ispettivo e di controllo divenendo, così, un soggetto particolarmente vulnerabile ad attacchi da parte di hacker esterni, tanto da ritenere irrinunciabile una più penetrante e incisiva collaborazione con gli smart workers, chiamati ad adottare una condotta attenta e  più diligente circa la custodia, l’utilizzo e la tutela dei dati trattati.

Ecco gli accorgimenti fondamentali da seguire:

  1. Predisposizione di una efficiente policy aziendale recante una serie di elementi essenziali che rispondano agli obblighi di informativa facenti capo al datore di lavoro. Il datore deve indicare le specifiche linee guida di comportamento per garantire la puntuale esecuzione della prestazione lavorativa, nel rispetto dei parametri di sicurezza. Inoltre, l’azienda deve suggerire accorgimenti e regole per l’utilizzo degli strumenti di lavoro, gestione di password, protezione di file e documenti, e l’utilizzo di Internet e della posta elettronica. Deve, inoltre, indicare in maniera esplicita le conseguenze disciplinari in caso di violazione delle regole di comportamento , e le modalità di conservazione dei relativi dati.
  2. Valutazione preventiva, in alcuni casi tassativamente obbligatoria, di impatto sulla protezione dei dati, ai sensi dell’art. 35 GDPR. Dunque, la predisposizione di una procedura che descriva i trattamenti dati effettuati in termini di natura, ambito, contesto, finalità e rischi. Ciò è utile per valutarne la necessità, la proporzionalità e i rischi relativi, al fine di adottare tutte le misure di sicurezza idonee ad affrontarli.
  3. Predisposizione di una procedura specifica in caso di “data breach”, ai sensi degli artt. 33 e 34 GDPR. I lavoratori ne devono essere informati per dare tempestiva informazione nel caso in cui si verifichi una violazione dei dati personali.
  4. Predisposizione e redazione di una adeguata informativa sulla privacy, aderente ai dettami degli artt. 12 e 13 GDPR, da fornire al singolo lavoratore circa il trattamento dei suoi dati personali.

Dunque, il lavoro agile è stato caratterizzato dall’applicazione di regole basate sulla buona fede, più che su parametri normativi precisi.

Il dialogo continuo e costante dovrà essere alla base dello smart working. Affinché diventi una soluzione per il lavoratore e l’azienda senza rinunciare alla sicurezza e alla protezione dei dati aziendali.

Read More
Redazione 15 Dicembre 2020 0 Comments

Gdpr e risorse umane: la nuova privacy

di Giuseppe Virgallitta

Dall’entrata in vigore nell’ordinamento italiano del nuovo GDPR – Regolamento UE n. 679/2016 per la tutela e protezione dei dati personali ormai sono passati quasi due anni.

Tutte le aziende e la PA hanno intensificato i processi relativi alla gestione e protezione dei dati e della privacy, soprattutto di quelli che vengono trasmessi via web.

Il GDPR, infatti, promette di rivoluzionare le modalità di raccolta, gestione, diffusione e archiviazione dei dati personali, impattando su tutta la vita dell’impresa.

Oggi la materia del trattamento dei dati personali e della tutela della privacy è ancora più centrale in virtù delle nuove modalità di lavoro agile introdotte a causa della pandemia di Coronavirus: per esempio, i dipendenti delle aziende lavorando da casa, utilizzano device che non sono aziendali e quindi potrebbero essere più facilmente preda di hacker senza averne consapevolezza.

Si tratta, di una norma che sovrappone e incrocia diversi ambiti lavorativi che spaziano dall’Information Technology al settore vendite, dal commerciale al marketing, sino ad arrivare alla compliance.

Tutti, quindi, devono fare i conti ed essere costantemente aggiornati sulle evoluzioni di questo strumento legislativo.

A tal scopo, molte aziende, sia pubbliche che private, si stanno rendendo conto della necessità di una figura che faccia da raccordo fra tutte le altre: molto spesso la scelta ricade sul Responsabile delle Risorse Umane che può svolgere questo delicato ruolo di garante.

I responsabili HR sono tradizionalmente considerati il fulcro della vita aziendale e riforme paragonabili al GDPR trovano in queste figure professionali i gestori ideali.

Infatti, il GDPR impone chiarezza di ruoli e di organizzazione: per funzionare in modo adeguato, la privacy in azienda ha bisogno di un organigramma dettagliato con le relative nomine ed incarichi.

Inoltre, il responsabile delle risorse umane ha a suo carico anche le comunicazioni verso i dipendenti e la formazione in materia di corretto trattamento dei dati.

Analogo discorso di organizzazione e monitoraggio continuo si può e si deve applicare al registro dei trattamenti dati della società, documento principale per dimostrare dinanzi all’Autorità garante, il rispetto dei requisiti tratteggiati dal GDPR.

Orbene, tutti questi compiti devono essere svolti ed eseguiti con attenzioni finora sconosciute, secondo i nuovi requisiti previsti dal regolamento ed in un’ottica di proceduralizzazione e armonizzazione con tutte le altre figure dei diversi ambiti aziendali.                                                                                     

Il 33% dei Responsabili HR è preoccupato riguardo ai dati sulla privacy

La nuova centralità del ruolo degli HR, con riferimento ai nuovi obblighi imposti dal GDPR, sembra poi essere confermata da alcune disposizioni normative del recente D. Legislativo 101 dell’agosto 2018, di adeguamento e armonizzazione della normativa nazionale al GDPR stesso.

In particolare, l’art. 17 del suddetto decreto legislativo impone l’applicazione generale (salvo alcune eccezioni) del rito del lavoro alle controversie in materia di protezione e gestione dei dati.

Appare naturale che, per la peculiarità del rito e per le conoscenze specifiche che detto rito impone, le controversie in questo ambito sono affidate ad avvocati giuslavoristi.

Altrettanto naturale è che detti professionisti del diritto, molto spesso, sono supportati da chi le aziende le conosce e che a sua volta conosce il rito: il responsabile della gestione del personale, appunto.

I responsabili HR, infine, devono al più presto rivalutare il loro attuale processo di recruiting, assicurandosi di avere l’appropriato controllo degli accessi in atto e il giusto livello di sicurezza commisurato al tipo di dati elaborati, al fine di soddisfare tutti i requisiti imposti dal GDPR.

In conclusione, è evidente, perciò, che le nuove disposizioni previste non solo dal GDPR, ma anche dal Codice Privacy, così come modificato e integrato dal D. Lgs.101/2018, implicheranno una nuova sfida tanto per le aziende, quanto per i responsabili delle risorse umane.                                                              

Un rinnovamento che non potrà non giovare a un ruolo da sempre al centro della vita aziendale, ma che, soprattutto negli ultimi anni, è stato un po’ troppo sottovalutato, “svuotato” e relegato ai margini della stessa.

Read More
Redazione 27 Ottobre 2020 0 Comments

GDPR per il settore dell’E-commerce: la rielaborazione dei dati in modo conforme alla norma.

Trattare il tema del GDPR per il settore dell’E-commerce: la rielaborazione dei dati grezzi atti a popolare i Data Warehouse in modo conforme alla norma.

 

Ad un anno dall’entrata in vigore del nuovo Regolamento per il trattamento dei dati, il team dell’Area Analytics di IWS Consulting, di concerto con l’Area Document Management ci spiegano l’approccio usato con il cliente.

 

Il 25 maggio 2018 è entrato in vigore il Regolamento UE 2016/679, noto come “GDPR” (General Data Protection Regulation), in materia di trattamento dei dati personali. Il GDPR si occupa del diritto alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

 

Il Regolamento, tuttavia, non ha modificato in modo sostanziale i concetti e i principi fondamentali della legislazione in materia di protezione dei dati, come ad esempio il rispetto del diritto delle persone, la finalità del trattamento dei dati, la necessità e la proporzionalità del trattamento, la durata limitata, la sicurezza e la riservatezza.

 

Tra i nuovi principi introdotti, parimenti importanti, di seguito alcuni:

 

• Il principio di accountability (o principio di responsabilizzazione);

• La minimizzazione dei dati;

• Il diritto all’oblio;

• il diritto alla portabilità dei dati;

• La notificazione dei data breach al Garante e, in talune ipotesi, agli interessati.

 

Una delle conseguenze della declinazione del Regolamento europeo nella normativa italiana, naturalmente, è stato il repentino adeguamento che le aziende che acquisiscono e trattano dati personali, e soprattutto “particolari”, hanno dovuto effettuare per risultare compliant: tanti piccoli aggiustamenti relativi ai propri sistemi software. IWS Consulting, già attenta ai problemi della riservatezza e della sicurezza del trattamento del dato, si è volta alle nuove sfide del mercato lavorando a un progetto inerente la compliance del trattamento dei dati con il GDPR per una nota azienda internazionale, leader nel mercato dello shopping on-line e dell’informazione, coinvolta dall’adeguamento normativo.

 

La soluzione, incentrata su uno dei nuovi concetti introdotti dal GDPR, quello di Privacy By Design, ha previsto la programmazione di misure di protezione dei dati e delle relative applicazioni informatiche di supporto, partendo dalla fase di progettazione di ciascun processo aziendale.
In sintesi, i dati processati sono stati quelli indispensabili allo svolgimento degli obblighi professionali e l’accesso alle informazioni è stato limitato esclusivamente agli addetti allo svolgimento dell’elaborazione.

 

Tale progettazione è basata sui seguenti steps:

Superata la fase di progettazione, elaborata step by step in maniera sinergica con il Cliente, si è passato allo stadio successivo, quello applicativo. In pochi mesi il team dell’Area Analytics è riuscito a raggiungere l’obiettivo prefissato: una rielaborazione dei dati grezzi atti a popolare i Data Warehouse conformi alla normativa GDPR, anonimizzando i dati sensibili degli utenti e fornendo solamente le informazioni strettamente necessarie ai vari reparti aziendali. Effettuando tale reingegnerizzazione, inoltre, sono state apportate modifiche sul design progettuale, linearizzando e de-stratificando l’ambiente As-Is.

 

La soluzione implementata ha portato i seguenti vantaggi:

 

• Diminuzione del tempo di elaborazione;

• Migliori performance per gli utenti finali.

 

Per raggiungere tale obiettivo, è stato utilizzato il tool applicativo “Knime”, partner storico di IWS che, grazie alle sue funzionalità, sia in ambito ETL che B.I., ha consentito uno sviluppo lineare e leggibile dei flussi sviluppati. Il progetto, grazie alle sue scelte innovative, agli ottimi risultati ottenuti a livello di tempistiche di realizzazione, di risultati complessivi di realizzazione e di livello di soddisfazione del Cliente, è stato presentato come esempio di “buona pratica” all’evento ‘KNIME SPRING SUMMIT’, svolto lo scorso mese di marzo a Berlino.

Read More
Redazione 22 Maggio 2019 0 Comments

Il diritto alla protezione dei dati personali: una opportunità per ripensare (a)i sistemi documentali.

Il diritto alla protezione dei dati personali: una opportunità per ripensare (a)i sistemi documentali.

*Francesca Blasetti Archivista senior della Ab-Archivibiblioteche, partner di Iws Consulting.

 

Il nuovo Regolamento generale europeo per la protezione dei dati personali- GDPR, dall’acronimo inglese (Regulation EU 216/679) – ha scatenato un gran fervore di dibattiti, workshop, webinar.

Mediante l’offerta di innumerevoli servizi e prodotti (consulenza legale, corsi di formazione, software per la gestione del rischio e per la sicurezza informatica, pacchetti “all inclusive” e “chiavi in mano”) il mercato promette di risolvere “per sempre” il “problema GDPR”. E’ proprio così?

 

Premessa

 

In queste righe si vogliono esaminare gli effetti che le recenti disposizioni sulla privacy, introdotte in base a una rinnovata prospettiva del principio dell’accountability, comportano nella gestione, tenuta e organizzazione dei documenti e degli archivi.

Si intende dunque spostare il punto di vista sul vero protagonista: il documento, ovvero il mezzo utilizzato dalle organizzazioni pubbliche e private per veicolare nello spazio e nel tempo le informazioni (tutte: comprese quelle personali) trattate nell’esercizio delle funzioni istituzionali e nelle attività di business.

I vincoli imposti dal GDPR divengono così una importante opportunità per porre al centro delle Organizzazioni il sistema documentale e ottenere che il rispetto delle norme non complichi ma, al contrario, renda più agevole e razionale la gestione dei flussi e il “governo” dei dati.

 

1. Alcune definizioni: dato, dato personale, documento, archivio

Innanzitutto è necessario sgombrare il campo del dibattito da possibili confusioni interpretative sugli “oggetti” della nostra riflessione

– il dato, in particolare nella specifica accezione di “dato personale”;

– il documento;

– l’archivio.

Il riferimento, nel titolo stesso del Regolamento europeo, alla protezione dei dati personalipotrebbe ingenerare la convinzione che le misure da mettere in atto ricadano principalmente all’interno dei confini della disciplina informatica.

Oggi più che mai, infatti, assistiamo nell’intendere e nel linguaggio comuni a una confusione interpretativa di tali “oggetti”.

Le loro caratteristiche peculiari meritano invece di essere ripercorse e precisate, a partire dalle scienze a ciò deputate, la diplomatica e l’archivistica.

Il dato è definibile come una componente informativa minima: esso rappresenta infatti l’unità minima dell’informazione, che a sua volta si configura come un’aggregazione di dati, a scopo di comunicazione, nello spazio e nel tempo.

Il dato personale (in relazione all’argomento specifico qui considerato) è definito dall’art. 4 del GDPR come “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)” mediante un identificativo, quale il nome, un numero o altro”. (1)

La definizione di documento nel linguaggio moderno ha assunto una molteplicità di accezioni. In base a una lettura piuttosto neutra e generica, esso è definibile come una qualsiasi informazione scritta memorizzata su un supporto di qualunque natura (res signata), a fini di comunicazione nello spazio e nel tempo.

Secondo una accezione più attinente al contesto della nostra riflessione, che indaga il documento in relazione alle attività pratiche o utilitarie messe in atto dalle Organizzazioni (2), prospettiva propria della dottrina archivistica,

un documento che può dirsi appartenere alla classe archivio è un documento scritto o usato nel corso di un’attività amministrativa (che sia pubblica o privata) o di cui esso stesso faceva parte; e successivamente tenuto in custodia per propria informazione dalla persona o dalle persone responsabili di tale attività o dai loro successori legittimi”.(3)

Tale definizione, neutrale sotto il profilo tecnologico, è idonea a ricomprendere anche il documento digitale, che tuttavia si caratterizza per alcune peculiarità, prima fra tutte quella di non avere un supporto fisso e quella di essere immagazzinato come uno o più flussi di bit, definiti “componenti digitali” nell’ambito del progetto InterPARES (International Research on Permanent Authentic Records in Electronic Systems):

Una componente digitale può contenere un documento intero o parte di un documento o molti documenti con i relativi metadati. […] La relazione tra un documento digitale e un file può essere di uno a uno, di uno a molti, di molti a uno o di molti a molti; quindi, in un contesto digitale, non bisogna mai usare i termini “documento archivistico” e “file” come sinonimi”. (4)

In particolare, l’International Council on Archives (ICA) definisce i documenti archivistici digitali come:

informazioni redatte o ricevute nell’avviare, condurre o completare un’attività istituzionale o individuale e che includono contenuto, contesto e struttura sufficienti a fornire prova di tale attività”. (5)

Dalla definizione di documento e, specificamente, di documento archivistico sopra delineata discende quella di archiviocomplesso organico dei documenti e delle relazioni reciproche che fra essi si stabiliscono in virtù dell’appartenenza al medesimo contesto di produzione come necessario strumento e residuo di quelle attività, conservato per proprio riferimento da quello stesso soggetto o da un suo successore legittimo. (6)

 

2. La disciplina del trattamento dei dati personali nel GDPR e la gestione documentale

 

Qualsiasi Organizzazione tratta dati personali nello svolgimento delle proprie attività. Il GDPR, come del resto la precedente Direttiva 95/46/CE e il nostro Codice sulla privacy (D.lgs. n. 196/2003), dispone che i dati personali debbano essere trattati solo se le finalità connesse al loro trattamento non siano ragionevolmente conseguibili con altri mezzi; in tal caso, il trattamento deve ispirarsi al principio della “minimizzazione”dei dati personali, secondo il quale essi devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. c, Principi applicabili al trattamento di dati personali).

A questo punto della riflessione è bene chiedersi: dove risiedono i dati personali che una Organizzazione pubblica o privata raccoglie, gestisce, conserva, comunica ed eventualmente diffonde? Solo sotto forma di record (in informatica, un insieme di elementi, in genere non omogenei, aggregati in forma strutturata) in database informatici? Oppure anche in documenti, secondo l’accezione delineata nel paragrafo precedente?

Le pubbliche Amministrazioni, infatti, ancor più degli organismi privati, nell’esercizio delle loro funzioni devono rispettare il principio di documentalità dell’azione amministrativa (7): ogni atto dell’agire amministrativo deve essere documentato secondo forme, intrinseche ed estrinseche, codificate, necessarie a conferigli forza di prova. Mutuando una incisiva espressione formulata da Gianni Penzo Doria: le Organizzazioni non sono chiamate a gestire semplicisticamente dei contenuti, ma “contenitori con contenuti affidabili”. (8)

Se consideriamo, inoltre, che la gestione documentale si caratterizza ancor oggi per la natura ibrida dei suoi oggetti, anzi molto frequentemente per una vera e propria ridondanza cartaceo-digitale, comprendiamo come la componente informatica sia solo una fra le molteplici da considerare nella gestione delle informazioni cristallizzate nei documenti.

Nelle disposizioni generali, del resto, il GDPR fa riferimento al trattamento di dati personali sia esso automatizzato, parzialmente automatizzato o non automatizzato. (9)

Il diritto delle persone fisiche alla protezione dei propri dati personali non dipende dalle tecnologie impiegate nel trattamento di tali dati: i titolari del trattamento, infatti, sono chiamati ad adottare “misure tecniche e organizzative adeguate”, tenuto conto dell’ambito di applicazione, del contesto, delle finalità del trattamento e in relazione ai rischi rilevabili per i diritti e le libertà delle persone fisiche (cfr. artt. 25 e 32). Fra tali misure tecniche e organizzative, come vedremo, è indispensabile includere policy e strumenti per una corretta gestione documentale.

Il vero principio innovatore ed ispiratore della nuova regolamentazione della privacy voluta dal legislatore europeo è il concetto di “accountability”, che può essere inteso come la

responsabilità incondizionata, formale o non, in capo a un soggetto o a un gruppo di soggetti (accountors), del risultato conseguito da un’organizzazione (privata o pubblica), sulla base delle proprie capacità, abilità ed etica […] Insieme al concetto di responsabilità, l’accountability presuppone quelli di trasparenza e dicompliance. […] Sotto questi aspetti, l’accountability può anche essere definita come l’obbligo di spiegare e giustificare il proprio comportamento”10.

E’ infatti il Titolare del trattamento che deve valutare autonomamente quali misure adottare sulla base di un’analisi preventiva che deve concretizzarsi in una serie di attività specifiche e dimostrabili, ispirate al principio della data protection by design e by default. (art. 25). (11)

È qui che emerge con forza la funzione strategica della gestione documentale all’interno di una Organizzazione, fondamentale per rispondere a nodi complessi e delicati quali quelli posti dalla disciplina sulla privacy. Infatti:

  • da una parte, Titolari e Responsabili del trattamento sono tenuti a dimostrare il rispetto delle disposizioni previste dal Regolamento nei confronti delle autorità di controllo, rendicontando ex post le scelte e le misure intraprese e come queste abbiano determinato i processi interni;
  • dall’altra, la conformità al Regolamento è realizzata garantendo, in itinere, agli interessati il pieno e puntuale esercizio dei loro diritti.

Tuttavia i processi sono di per sé evanescenti e poco trasparenti; per renderli controllabili, misurabili e quindi valutabili è necessario assicurare un risvolto documentale affidabile. (12)

Allo stesso modo, per garantire agli interessati l’esercizio dei diritti sanciti dal Regolamento (artt. 12-21), Titolari e Responsabili del trattamento devono essere supportati da un sistema documentale efficiente.

Ciò appare molto evidente se ci poniamo tre domande essenziali:

a. come garantire il diritto di accesso ai dati personali se il Titolare del trattamento non ha contezza di dove essi risiedano logicamente e/o fisicamente all’interno del proprio archivio digitale o cartaceo?

b. senza un sistema documentale organizzato, come può il titolare dimostrare in relazione a quali attività e procedimenti i dati sono stati trattati? Attenzione! Questo vale anche se il diritto di accesso dell’interessato ai propri dati personali non comporta sempre e comunque l’accesso ai documenti che li contengono.

c. quando i sistemi documentali e gli archivi non sono organizzati sulla base di essenziali strumenti di records management, come garantire la puntuale rettifica dei dati personali o la loro cancellazione (diritto all’oblio), il loro tracciamento e scongiurare il rischio di perdita, di modifica o di accesso non autorizzato?

Le soluzioni informatiche non bastano: le tecniche di data e information retrievaloffrono soluzioni soltanto parziali.

 

 

3. Metodologie e strumenti per una gestione documentale GDPR compliant

La certezza del diritto si fonda sull’esistenza di procedure formalizzate e documentate.

Abbiamo visto come tale assunto debba trovare idonea applicazione anche e soprattutto nella gestione dei dati personali attuata quotidianamente da Organizzazioni pubbliche e private, la cui protezione è assurta al rango di diritto fondamentale nell’ambito del diritto dell’Unione europea. (12)

Abbiamo accennato che il sistema documentale di una Organizzazione assicura al Titolare e al Responsabile del trattamento agevoli identificazione, accesso e controllo del patrimonio informativo costituito dai dati personali, purché si adottino le relative “misure tecniche ed organizzative adeguate”.

Ma cosa significa tutto questo esattamente?

Garantire la qualità del patrimonio informativo prodotto e gestito, la sua integrità e riservatezza. (14)

Come?

Dotandosi di regole, procedure e strumenti archivistici. Cioè degli elementi fondamentali di un sistema documentale.

Un sistema documentale, in grado di sostenere l’Ente nella compliance al GDPR, deve poter:

 

a. Identificare univocamente ogni documento creato o acquisito, mediante la registrazione di brevi informazioni descrittive (metadati) e la sua classificazione (15) , con il fine primario di facilitarne il recupero e comprovarne l’esistenza nell’archivio.

La classificazione è una operazione intellettuale che governa l’organizzazione dell’archivio e facilita la gestione dei documenti, consentendo di definire specifiche policy di accesso, di sicurezza e responsabilità di gestione per “gruppi” di documenti, come appunto quelli prodotti in relazione ad attività che prevedono il trattamento di dati personali.

Ma soprattutto la classificazione è necessaria per restituire l’informazione sul contesto giuridico-amministrativo di produzione del documento, solo parzialmente rappresentato dalle informazioni di contenuto in esso presenti, meno che mai dai singoli dati.

A tal proposito giova ricordare quanto raccomandato nelle Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web. (16)

Al par. 5, dedicato agli Accorgimenti tecnici in relazione alle finalità perseguite, si legge:

“Deve inoltre sempre essere tenuto presente il pericolo oggettivo costituito dai motori di ricerca che”decontestualizzano il dato” estrapolandolo dal sito in cui è contenuto, e trasformandolo in una parte – non controllata e non controllabile – delle informazioni che di una persona sono date dal motore di ricerca stesso, secondo una “logica” di priorità di importanza del tutto sconosciuta e non conoscibile all’utente”.

E ancora al par. 5.4 relativo ai Dati esatti e aggiornati, il Garante dispone:

“A tale fine occorre adottare idonee misure per eliminare o ridurre il rischio di cancellazioni, modifiche, alterazioni o decontestualizzazioni delle informazioni e dei documenti resi disponibili tramite Internet. Un utile accorgimento consiste, ad esempio, nell’indicazione, tra i dati di contesto riportati all’interno del contenuto informativo dei documenti, delle fonti attendibili per il reperimento dei medesimi documenti”.

 

b. Definire i diritti di accesso ai documenti in base ai dati personali trattati, attribuendo a ciascun utente del sistema, interno o esterno, precisi permessi di visibilità, limitata ai soli metadati descrittivi dei documenti e dei fascicoli, oppure estesa al loro contenuto informativo.

Lo strumento che consente di disciplinare le politiche di accesso ai documenti in relazione ai procedimenti, affari, attività cui ineriscono, modulandole in base ai differenti diritti da tutelare (-trasparenza, privacy, ricerca-), è il piano di fascicolazione. Si tratta del quadro generale che censisce tutte le tipologie di fascicolo, le regole di creazione, denominazione, visibilità, nonché quelle documentali afferenti a ciascun fascicolo.

L’efficacia di questo strumento fondamentale può essere potenziata dalla sua correlazione a documenti descrittivi dei workflow documentali, con i quali è possibile dare evidenza del rapporto tra la produzione documentaria e le fasi del singolo processo, consentendo di (ri)progettare flussi documentali GDPR compliant.

 

cStabilire i tempi di conservazione dei documenti sin dalla fase di formazione, per poter pianificare policy e interventi conservativi adeguati, che rispettino da un lato i principi e i diritti sanciti dal Regolamento, per cui la conservazione dei dati personali deve essere limitata ai tempi richiesti dalle finalità del trattamento, e dall’altro tengano in considerazione esigenze e diritti di altra naturaquali l’assolvimento di un obbligo legale da parte del titolare del trattamento; la conservazione per finalità di pubblico interesse o di ricerca storica, scientifica, statistica.

Occorre, quindi, valutare la funzione esercitata dai documenti sotto i profili probatorio, amministrativo, informativo e di ricerca, elaborando dei piani di conservazione, sulla base dei quali gestire periodiche attività selettive sulla documentazione archiviata, ai fini della sua eliminazione legale o conservazione a lungo termine.

 

d. Prevedere sistemi di tracciamento dei dati e dei documenti che memorizzino tutte le operazioni effettuate su di essi, dalla creazione, alla modifica, alla eliminazione, così da verificare la conformità alle procedure interne di gestione dei documenti, intercettando eventuali anomalie e violazioni.

A questo fine è necessario che il sistema informativo dell’Organizzazione sia progettato in modo tale da porre al centro il sistema di gestione documentale, al quale si attribuisce la stessa funzione che il cuore svolge nell’organismo umano: tutti i flussi informativi interni, da e verso l’esterno, che nel loro percorso attraverso canali e sistemi gestionali disparati accrescono la loro portata informativa, devono trovare origine, completamento e sedimentazione nel sistema di gestione documentale.

Solamente con una infrastruttura logica così congegnata, unitamente a specifiche misure di sicurezza informatica, sarà possibile adeguarsi a quanto previsto dal GDPR, assicurando agli interessati il puntuale esercizio dei loro diritti.

 

Conclusioni

 

La gestione della problematica “privacy” all’interno di una Organizzazione è, dunque, una questione da affrontare secondo una prospettiva multidisciplinare che comprenda:

  • una attenta definizione dei ruoli a governo della funzione;
  • una corretta gestione documentale;
  • una permanente attività di valutazione del rischio;
  • la costruzione di una infrastruttura informatica tecnologicamente avanzata.

 

La tutela dei diritti e delle libertà delle persone fisiche con riguardo alla protezione dei loro dati personali passa necessariamente attraverso un consapevole controllo da parte dell’Ente dei dati e delle informazioni trattate e la loro sedimentazione in documenti che, durante tutto il loro ciclo di vita, siano garantiti autentici, affidabili, integri e usabili (17), mediante la loro organizzazione in un sistema documentale scientificamente fondato.

Da quanto finora esposto emerge chiaramente l’intreccio indissolubile tra archivi e diritti, nel quale gli uni fungono da garante per gli altri e viceversa. A tal proposito Stefano Rodotà, parlando del diritto di accesso nell’ambito del più ampio diritto alla privacy, affermava:

 

“Il riconoscimento alla privacy del rango di diritto fondamentale, in una prospettiva caratterizzata da un potere di “seguire” le informazioni personali anche quando sono entrate a far parte della disponibilità di un altro soggetto, ha fatto assumere un rilievo particolare al diritto di accesso, al potere dell’interessato a “seguire” i suoi dati anche in mano altrui, controllando la loro esattezza e la correttezza della raccolta e potendo, quindi, esigere l’eliminazione dei dati falsi o illecitamente raccolti, la correzione di quelli sbagliati, l’integrazione di quelli incompleti […]. Il rafforzamento del diritto individuale alla privacy si converte così in uno strumento per rendere più trasparenti le sfere di altri soggetti”. (18)

La protezione dei dati personali, seppure elevato al rango di diritto fondamentale, tuttavia non è un diritto assoluto: la libera circolazione dei dati personali nell’Unione non può essere vietata, né limitata (art.1, par. 3, GDPR) e la loro protezione deve essere garantita unitamente all’esercizio di diritti diversi (diritto di informazione, di ricerca scientifica, difesa di interessi legittimi da parte del titolare del trattamento, accesso civico etc.).

Per rispondere adeguatamente a questo compito le Organizzazioni hanno bisogno di archivi e di sistemi documentali organizzati, chiamati a svolgere un ruolo positivo e semplificatore per la vita dell’Ente e una funzione democratica per la vita dei cittadini.

 

Hai valutato lo stato di salute del cuore della tua organizzazione, il sistema documentale? Se parti da quello, sarai già un bel pezzo avanti rispetto alla compliance GDPR e non solo!

 

Note:

 

1 “(…) un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”;
2 L’art. 2, par. 2, lett. C, del GDPR chiarisce infatti che il Regolamento non si applica ai trattamenti di dati personali effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico;
3 H. Jenkinson, A Manual of Archive Administration, Clarendon Press, Oxford 1922, p. 11;
4 L. Duranti, Il documento archivistico, in Archivistica. Teorie, metodi, pratiche, a cura di L. Giuva e M. Guercio, 2014, p. 28;
5 International Council on Archives, Committee on Electronic Records, Guide for Managing Electronic Records from an Archival Perspective, ICA 1997, p. 21;
6 L. Duranti, Il documento archivistico, in Archivistica. Teorie, metodi, pratiche, a cura di L. Giuva e M. Guercio, 2014cit., p 21;
7 Cfr. G. Penzo Doria, L’archivista dà efficacia alla perfezione (giuridica), 2017;
8 G. Penzo Doria, Dal notaio medioevale al cybernotary, tra diplomatica tradizionale e informatica giuridica, Archivio di Stato di Perugia – Scuola APD, 1 dicembre 2016;
9 Cfr. artt. 2 e 4 GDPR;
10 Treccani, Dizionario di economia e finanza, 2012;
11 Fra le misure tecniche e organizzative suggerite dal Regolamento, senza pretesa di esaustività: minimizzazione e pseudonimizzazione dei dati; crittografia dei database; adeguati processi di backup e ripristino dei dati in casi avversisistemi predisposti per la cancellazione automatica dei dati personali dopo il termine stabilito;
12 Gianni Penzo Doria, Relazione al XXVIII Convegno nazionale RAU, 2017 (https://www.youtube.com/watch?v=8LZQwPW5V2E);
13 Cfr. art. 8, par. 1 Carta dei diritti fondamentali della UE e art. 16, par. 1 Testo sul funzionamento della UE (TFUE);
14 A tal proposito si rimanda al sito web del progetto InterPARES (http://interpares.org);
15 Il termine “classificazione” è qui usato nella sua accezione propriamente archivistica: attribuire al documento una posizione logica all’interno del sistema documentale in relazione alla funzione e all’attività per le quali è stato prodotto o acquisito, rendendo in tal modo esplicita la rete delle sue relazioni logico-funzionali;
16 Garante per la protezione dei dati personali, Deliberazione n. 88 del 2 marzo 2011:fornisce specifiche istruzioni ai soggetti pubblici che effettuano attività di comunicazione o diffusione di dati personali sui propri siti istituzionali per finalità di trasparenza, pubblicità e consultabilità;
17 Cfr. ISO 15489 – I:2001. Information and Documentationi – Records Management. Part. I: General;
18 S. Rodotà, Repertorio di fine secolo, Laterza, 1992, pag. 197;

 

Articolo originale: https://www.linkedin.com/pulse/il-diritto-alla-protezione-dei-dati-personali-una-per-blasetti/

 

 

Read More
Redazione 11 Maggio 2018 0 Comments