La gestione degli archivi cartacei e informatici in funzione della privacy. Come deve comportarsi l’amministratore di condominio?
La nozione di archivio di dati personali, che sia esso cartaceo o informatico, delimita l’ambito di applicazione materiale del Regolamento in relazione ai trattamenti dei dati non automatizzati.
In data antecedente al GDPR, la definizione di archivio non era ripresa nel Codice Privacy (D.lgs 196/2003), e non si rinvenivano norme di riferimento che limitassero l’ambito di applicazione rispetto ai trattamenti manuali. Sul punto erano intervenute le autorità giudiziarie per limitarne la nozione (con riferimento, ad esempio, alla sola tenuta di archivi informatici organizzati per campi).
Un criterio interpretativo lo ha fornito la Corte di Giustizia Europea con la sentenza del 10 luglio 2018, relativa alla direttiva 95/46 ed emessa sotto la vigenza del Regolamento: si stabilisce quale criterio determinante perché un insieme di dati personali possa essere definito archivio, che lo stesso sia strutturato secondo criteri specifici, che consentono di recuperarli facilmente per un successivo impiego.
Il concetto di archivio, lo ritroviamo ora all’art. 4 del Regolamento che al n. 6 dispone che l’archivio è: “qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico“.
La responsabilità della tenuta di un archivio si estrinseca, ai sensi del Regolamento, in una gestione che consenta un agevole esercizio dei diritti dell’interessato innanzitutto, oltre all’adozione di misure tecniche ed organizzative volte a garantire la riservatezza e l’integrità dei dati.
Compito dell’archiviazione è, in ambito condominiale, dell’amministratore di condominio responsabile del trattamento e la funzione deve essere quella di agevolare, tra l’altro, gli esercizi dei diritti da parte dell’interessato del trattamento (condomino), nel caso di sua richiesta di visione o copia dei documenti condominiali.
La conservazione dei dati in archivio deve essere effettuata utilizzando le misure di sicurezza che si ritrovano nell’articolo 32 dove, in linea con il principio di accountability, sposta in capo al titolare del trattamento la responsabilità di adottare (rectius: organizzare e costruire nel dettaglio) misure tecniche e organizzative adeguate ad una eventuale successiva dimostrazione di conformità alla norma (in conformità con il principio di accountability).
Si tratta quindi di un criterio aperto da adattare caso per caso, conformemente alle impostazioni previste dalle normative tecniche di stampo europeo (UNI/EN), nella quale la responsabilità non è ancorata all’esatto adempimento di una serie di obblighi ma alla corretta interpretazione di principi aperti.
Le misure che il GDPR suggerisce, le ritroviamo indicate nell’art. 32, e sono:
- la pseudonimizzazione e cifratura dei dati personali ,
- la capacità di assicurare la continua riservatezza , integrità disponibilità e resilienza dei sistemi e dei servizi che trattano i dati,
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico e tecnico, e
- una procedura per verificare e valutare le misure tecniche e organizzative adeguate al fine di garantire la sicurezza dei trattamenti.
Se queste norme trovano facile riscontro nella cultura della consulenza aziendale, più che abituata all’adozione di sistemi di gestione e alla creazione di soluzioni su misura, declinare sulle attività poste in essere da uno studio di amministrazione queste indicazioni, comporta qualche problema applicativo in più.
Ad esempio, quando parliamo di pseudonimizzazione del dato, ci riferiamo non tanto all’attribuzione di un codice numerico ad ogni condòmino dello studio, ma a tutto quel complesso di misure che debbono portare in pratica ad evitare, ad esempio, che la segretaria chiami per cognome ad alta voce il condòmino in sala d’attesa.
Quindi a fianco all’archivio ben ordinato con i codici a barre copertina sui fascicoli e la chiave saldamente riposta in tasca al personale, le misure tecniche e organizzative dovranno necessariamente prevedere una pur minima formazione del personale, un Regolamento interno di studio e così via.
Per quanto riguarda la cifratura, dato che stiamo parlando di studi professionali, è appena il caso di
accennare che, qualora il professionista si avvalga di società esterne che offrono archivi in cloud cifrati, essendo il professionista stesso il titolare del trattamento dovrà accertarsi che chi offre l’archivio, opportunamente nominato responsabile, dia sufficienti garanzie in merito ad accesso e recupero dei dati su richiesta dal database cifrato.
Per l’applicazione del principio dell’accountability, in capo al titolare e al responsabile, vi è anche l’obbligo di resilienza , ovvero di assicurare la solidità dei propri sistemi e servizi che, fin dalla progettazione, devono essere creati, implementati o adattati per garantire non solo un solido sistema di sicurezza verso i malintenzionati, ma anche assicurare la salvaguardia del dato contro fughe e perdite accidentali dei dati stessi.
Anche qui, come visto sopra, l’obbligo della valutazione di adeguatezza è in capo al professionista, che deve essere debitamente formato e istruito da apposito consulente privacy debitamente incaricato.
Disaster recovery e business continuity sono infine la capacità di reagire in modo efficace e tempestivo ad eventuali criticità dovute agli incidenti fisici tecnici, allo scopo di ripristinare la disponibilità e l’accesso dei dati personali oggetto di trattamento garantendo la continuità del servizio.
Vanno quindi progettati processi logici attraverso l’acquisto o la creazione di soluzioni informatiche, aggiungendo formazione e addestramento del personale.
In questo panorama, ideato e strutturato per realtà che in media sono ben più grandi dello studio professionale si deve tenere presente l’obiettivo della norma, che è la tutela dell’interessato.
Accountability prima di tutto.
Fonte: https://www.condominioweb.com/archivi-cartacei-e-informatici.16352
Commenti recenti