Per utilizzare questa funzionalità di condivisione sui social network è necessario accettare i cookie della categoria 'Marketing'
Crea PDF

Perchè, quando e come distruggere i dati personali su supporto cartaceo

Perchè, quando e come distruggere i dati personali su supporto cartaceo
Adalberto Biasiotti

Autore: Adalberto Biasiotti

Categoria: Privacy

11/04/2018

Il nuovo regolamento generale sulla protezione dei dati prevede vincoli stringenti in tema di conservazione e successiva distruzione dei dati. Cosa deve fare il titolare responsabile del trattamento?

Il decreto legislativo 196/2003 imponeva che i dati personali, raccolti dal titolare, non venissero conservati oltre il tempo necessario a soddisfare le finalità della raccolta. Questa formulazione però era alquanto ambigua e non dava indicazioni in merito al comportamento da tenere, al termine della vita utile del dato personale.

 

Il nuovo regolamento europeo invece è assai più puntiglioso e non solo impone una serie di obblighi, da inserire nella informativa all’interessato (in particolare l’articolo 5, comma 1, lettera e), ma impone anche che, in fase di elaborazione della valutazione di protezione fin dalla progettazione del trattamento, articolo 25 del regolamento, il tema venga specificamente presi considerazione. Inoltre, queste considerazioni dovrebbero anche essere riportate nel registro del trattamento, in modo da offrire un panorama completo delle modalità con cui il titolare e responsabile affrontano e gestiscono i loro obblighi in materia di protezione dei dati (art. 30).

 

Al proposito, ricordo che una corretta compilazione del registro del trattamento sarà utilissima per successivamente localizzare i dati, che dovranno essere distrutti.

Analizziamo adesso, passo passo, i compiti del titolare del responsabile.

Come accennato, nell’offrire l’informativa all’interessato deve essere esplicitamente indicato il termine ultimo di conservazione dei dati. Questo termine utile può essere stabilito dal titolare, in funzione delle finalità per cui i dati vennero raccolti, oppure può essere imposto da leggi e regolamenti. È questo il caso specifico di documenti di natura amministrativa, che devono essere conservati per 10 anni.

 

Una volta individuato quindi il termine ultimo di conservazione dei dati, gli stessi debbono essere obbligatoriamente cancellati o distrutti. L’espressione cancellati fa più comunemente riferimento a dati su supporto informatico, ottico, magnetico altro, mentre l’espressione distrutti fa riferimento a supporti cartacei.

È questo in particolare il tema che desidero affrontare.

 

 

Pubblicità
Procedure per la gestione della Security nei luoghi di lavoro
Tutti i modelli di procedure pronti all'uso per il responsabile della security (Security Manager)

 

All’articolo 25, il regolamento impone a tutti i titolari e responsabili, per tutti i trattamenti, di sviluppare un piano di protezione fin dalla progettazione del trattamento dei dati personali.

Un’area specifica di questa progettazione deve evidentemente fare riferimento alle modalità con cui, quando i dati hanno raggiunto il limite della vita utile, essi devono essere distrutti. Il titolare o responsabile che omettesse di inserire queste disposizioni, nel piano di sicurezza, previsto dall’articolo 25, commetterebbe non solo una ingenuità, ma soprattutto una violazione agli articoli del regolamento, debitamente e profumatamente sanzionabile.

 

Non nascondo ai lettori che ritengo assai meno impegnativo il compito di distruggere dati su supporto cartaceo, rispetto a dati su altri supporti. Nel secondo caso, infatti, questi dati potrebbero essere presenti su numerosi supporti, sparpagliati in varie parti dell’ufficio e perfino in varie parti del mondo, se tali dati sono stati salvati in un cloud.

 

I dati su supporto cartaceo, per contro, risultano più facilmente localizzabili, anche perché raramente se ne fanno molte copie. In genere questi dati sono conservati in un archivio, ad accesso limitato, e quindi sono facilmente recuperabili, quando giungerà l’ora della distruzione.

A questo punto, vediamo come si possono distruggere i dati personali su supporto cartaceo, nel pieno rispetto di leggi e regolamenti vigenti.

Ricordo ai lettori che esiste la norma EN15713: 2009 – secure destruction of confidential material – Code of Practice, che specificamente fa riferimento alle modalità con cui è possibile distruggere vari tipi di supporti, soprattutto cartacei.

La norma prevede ben otto livelli di distruzione, passando da strisce, larghi alcuni millimetri, fino a frammenti di pochi millimetri quadrati di superficie.

È evidentemente compito del titolare del responsabile decidere a quale dei livelli della norma deve essere portato il livello di distruzione. Come regola generale, ritengo che il livello 2 o 3 possa andare più che bene per documenti non particolarmente critici, mentre raccomando di raggiungere almeno un livello 6 per documenti particolarmente critici.

Il livello 8 è riservato per solito solo a documenti classificati a livello di segreto od anche segretissimo.

 

Oggi sono disponibili dei distruggitori che possono realizzare questi livelli di distruzione, ma sono anche disponibili dei servizi, forniti da aziende terze, dotate di un automezzo opportunamente equipaggiato.

 

Questo automezzo si reca presso il luogo dove sono conservati i supporti cartacei e provvede, sotto gli occhi del titolare o del responsabile o di un loro delegato, alla distruzione dei documenti, rilasciando apposito verbale.

Al proposito, desidero attirare l’attenzione dei lettori sulla importanza di adottare un procedimento di distruzione che sia conforme ad una norma italiana od europea.

Ricordo che un bene o un servizio, realizzato in conformità a una norma italiana od europea, viene, secondo le prescrizioni del nostro codice civile, realizzato a regola d’arte.

Ciò significa che nessun organo terzo, sia esso organo investigativo o giudiziario, potrà avere nulla da eccepire circa il fatto che la distruzione sia avvenuta con modalità soddisfacenti.

 

Ancora oggi, mi stupisco talvolta del fatto che non tutti i titolari e responsabili si rendano conto dell’importanza del riferimento ad una norma, che per la sua stessa natura toglie ogni responsabilità residua al titolare e al responsabile, se, come in questo caso, l’operazione di distruzione è stata realizzata in conformità alla regola d’arte.

 

Tutt’al più, potrebbe restare un margine di contestazione afferente al fatto che sia stato scelto un livello di frammentazione, piuttosto che un altro, ma è evidente che qui entriamo in una fase dibattimentale, che potrebbe prolungarsi per anni.

 

Se invece la distruzione non è stata eseguita od è stata eseguita non in conformità alla regola d’arte, lo spazio per contestazioni e l’erogazione di sanzioni certamente si dilata oltremodo.

 

Adalberto Biasiotti

 

Creative Commons License Questo articolo è pubblicato sotto una Licenza Creative Commons.

 


I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.

Per visualizzare questo banner informativo è necessario accettare i cookie della categoria 'Marketing'

Pubblica un commento

Ad oggi, nessun commento è ancora stato inserito.

Pubblica un commento

Banca Dati di PuntoSicuro


Altri articoli sullo stesso argomento:


Forum di PuntoSicuro Entra

FORUM di PuntoSicuro

Quesiti o discussioni? Proponili nel FORUM!