GDPR e dati cartacei: cosa fare?

Ma il GDPR si applica ai dati cartacei? Ecco: questa è una domanda che di tanto in tanto mi viene sottoposta. E fin qui tutto bene. Il problema è quando questa domanda non viene fatta e si parte già dal presupposto (o pregiudizio, ma tanto sempre di un pre-qualcosa si tratta) che il GDPR riguarda esclusivamente i (trattamenti di) dati personali svolti tramite sistemi informatici.
Insomma: trattamenti automatizzati e che fanno beep boop bop (questa è per intenditori).

Occhio ad un particolare: se la domanda non viene fatta al consulente, possiamo ancora rimediare. Se invece non viene fatta dal consulente, allora c’è un bel problema di fondo.

Il rischio infatti è che non ci si vada ad occupare di tutte quelle attività di trattamento che vengono svolte tramite modalità non automatizzate.

Esempio di trattamento non automatizzato di dati.

Insomma, l’art. 2 GDPR definisce l’ambito di applicazione della norma:

 “Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.” (art. 2.1 GDPR)

da cui emerge che gli adempimenti del GDPR riguardano anche dati personali trattati in modalità non automatizzata purché siano contenuti in un archivio o destinati a figurarvi. E la definizione di archivio la fornisce proprio lo stesso GDPR:

“qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;” (art. 4.1 n. 6 GDPR)

Quanto viene richiesto è di conseguenza che anche tutti quei dati che vengono raccolti, trattati e archiviati secondo modalità analogiche trovino delle garanzie di qualità e sicurezza. Il che corrisponde all’adempimento di precisi obblighi in capo al titolare del trattamento.

Ma siamo sicuri?

La sicurezza delle informazioni, è bene ricordare, riguarda il mantenimento della triade confidenzialità-integrità-disponibilità a prescindere dalla tipologia di supporto impiegato.

Ma l’aspetto della sicurezza dei dati trattati secondo modalità non automatizzate è un elemento da dover considerare sia per identificare le fonti di rischio specifiche che le contromisure che è possibile adottare.

Alcuni esempi di contromisure adottabili in tal senso possono essere:
– l’accesso controllato alle stanze degli archivi;
– la previsione delle distanze di cortesia;
– un progetto di digitalizzazione degli archivi cartacei.

A tale riguardo è bene ricordare che anche una violazione di un dato personale trattato secondo modalità non automatizzate costituisce data breach.

GDPR e dati cartacei: spunti pratici

Gli adempimenti del GDPR applicabili ai dati cartacei sono ad esempio la rendicontazione dei trattamenti all’interno dei registri, l’informazione degli interessati, la responsabilizzazione e l’istruzione dei soggetti autorizzati all’accesso, la procedura di scarto documentale.

Come evitare un effetto domino degli inadempimenti?

Ecco alcuni suggerimenti utili e 4 stagioni, come gli armadi o la pizza a seconda dei gusti:
(i) individuare gli archivi cartacei impiegati;
(ii) tracciare il processo di formazione, trasmissione e archiviazione dei documenti;
(iii) sensibilizzare l’organizzazione (management e operatori) sui rischi di sicurezza delle informazioni trattate secondo modalità analogiche;
(iv) classificare la documentazione cartacea secondo sensibilità;
(v) definire una procedura di scarto in sicurezza del documento cartaceo.

1 thought on “GDPR e dati cartacei: cosa fare?”

Comments are closed.

Related Post