8.1. Misure minime per l’erogazione di Servizi in rete
Il Gestore e i Soggetti erogatori DEVONO implementare almeno le misure indicate nell’allegato 5, ferma restando la necessaria predisposizione, ai sensi dell’art. 32 GDPR e nel rispetto del principio di responsabilizzazione, di ogni misura tecnica e organizzativa adeguata a garantire un livello di sicurezza adeguato al rischio.
occorrerebbe capire il rapporto fra punto di accesso e sistemi locali dei soggetti erogatori con particolare riferimento a:
1.1. chi produce il documento a cui necessariamente sono affissi i dati personali di cui si tratta (se si parla di istanze, dichiarazioni e comunicazioni varie) e chi detiene le banche dati che questi dati contengono ed elaborano;
1.2. di conseguenza, quale rapporto intercorre fra punto di accesso telematico unico e sistema di gestione documentale del soggetto erogatore;
questa bozza di linee guida e’ del tutto dimentica degli aspetti documentali, di records management e archivistici in generale. Sono dati oggettivi: una sola occorrenza di “archiv*” declinato in “archiviazione” nel senso di “memorizzazione su un supporto informatico”; nessun accenno all’art. 65 del CAD che norma la validità giuridica delle istanze, le occorrenze di “document*” sono o autoreferenziali nel senso di “il presente documento” oppure declinate in “documentazione” intesa come complesso di istruzioni di funzionamento di qualcosa - ci sono solo due occorrenze di “documento” nel senso del records management, fra l’altro molto generiche e semplicistiche: limitare da parte dei soggetti erogatori la trasmissione di documenti elettronici con dati personali (8.4.1) e collegamento con l’IndicePA per garantire l’“invio di documenti a tutti gli effetti di legge” ai soggetti che vi sono iscritti (4.3 - come se la piena validità giuridica di un documento dipendesse solo dall’inviare al domicilio digitale).
Nonostante le premesse, relativamente al punto 8.4.2, si può sottolineare che il principio di limitazione della conservazione sancito dal GDPR, trova notevoli mitigazioni in ambito pubblico, indicate sia dal GDPR stesso (che rimanda alla norma nazionale) sia, appunto, dalla norma nazionale (che si sostanzia nella revisione post-GDPR del “codice della privacy”). Quest’ultima tratta in modo piuttosto esauriente la questione della conservazione nel pubblico interesse o per fini storici/statistici/scientifici.
Si ricorda che il documento di ambito pubblico, di qualsiasi natura, assume sin dalla sua origine valore di bene culturale (codice dei beni culturali). La sua distruzione, necessaria per la cancellazione dei dati personali, è un atto soggetto a autorizzazione degli organi di vigilanza. Lo stesso vale se si parla di modificare o cancellare dati presenti su banche dati (anch’esse documenti, sotto opportune ipotesi). Per farla breve, oltre al fatto che molti documenti sono - per legge o per pratica consolidata - soggetti a conservazione permanente, non è di fatto possibile per una pubblica amministrazione (soggetto erogatore) dichiarare preventivamente un tempo oltre il quale i dati personali (contenuti in documenti) verranno cancellati, proprio perché è un’azione che non dipende esclusivamente dall’amministrazione che detiene dati e documenti.
In tal senso, in sintesi, si esprime anche la normativa nazionale.
Rimando comunque a un più qualificato intervento della DGA (Direzione Generale Archivi, incardinata nel Ministero della Cultura) il riferimento puntuale a norme e disposizioni, intervento che andrebbe vivamente sollecitato.
Concordo. Almeno in ambito pubblico sarebbe prioritaria una reingegnerizzazione dei sistemi che preveda ove possibile che taluni campi per talune procedure vengano anonimizzati dopo il tempo previsto, piuttosto che semplicemente cancellati in toto. @frantheman ti consiglio di ripetere il messaggio anche su docs, qui non è detto che lo leggano.