GDPR e dati cartacei: cosa fare?

[rank_math_breadcrumb]

Ma il GDPR si applica ai dati cartacei? Ecco: questa è una domanda che di tanto in tanto mi viene sottoposta. E fin qui tutto bene. Il problema è quando questa domanda non viene fatta e si parte già dal presupposto (o pregiudizio, ma tanto sempre di un pre-qualcosa si tratta) che il GDPR riguarda esclusivamente i (trattamenti di) dati personali svolti tramite sistemi informatici.
Insomma: trattamenti automatizzati e che fanno beep boop bop (questa è per intenditori).

Occhio ad un particolare: se la domanda non viene fatta al consulente, possiamo ancora rimediare. Se invece non viene fatta dal consulente, allora c’è un bel problema di fondo.

Il rischio infatti è che non ci si vada ad occupare di tutte quelle attività di trattamento che vengono svolte tramite modalità non automatizzate.

Esempio di trattamento non automatizzato di dati.

Insomma, l’art. 2 GDPR definisce l’ambito di applicazione della norma:

 “Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.” (art. 2.1 GDPR)

da cui emerge che gli adempimenti del GDPR riguardano anche dati personali trattati in modalità non automatizzata purché siano contenuti in un archivio o destinati a figurarvi. E la definizione di archivio la fornisce proprio lo stesso GDPR:

“qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;” (art. 4.1 n. 6 GDPR)

Quanto viene richiesto è di conseguenza che anche tutti quei dati che vengono raccolti, trattati e archiviati secondo modalità analogiche trovino delle garanzie di qualità e sicurezza. Il che corrisponde all’adempimento di precisi obblighi in capo al titolare del trattamento.

Ma siamo sicuri?

La sicurezza delle informazioni, è bene ricordare, riguarda il mantenimento della triade confidenzialità-integrità-disponibilità a prescindere dalla tipologia di supporto impiegato.

Ma l’aspetto della sicurezza dei dati trattati secondo modalità non automatizzate è un elemento da dover considerare sia per identificare le fonti di rischio specifiche che le contromisure che è possibile adottare.

Alcuni esempi di contromisure adottabili in tal senso possono essere:
– l’accesso controllato alle stanze degli archivi;
– la previsione delle distanze di cortesia;
– un progetto di digitalizzazione degli archivi cartacei.

A tale riguardo è bene ricordare che anche una violazione di un dato personale trattato secondo modalità non automatizzate costituisce data breach.

GDPR e dati cartacei: spunti pratici

Gli adempimenti del GDPR applicabili ai dati cartacei sono ad esempio la rendicontazione dei trattamenti all’interno dei registri, l’informazione degli interessati, la responsabilizzazione e l’istruzione dei soggetti autorizzati all’accesso, la procedura di scarto documentale.

Come evitare un effetto domino degli inadempimenti?

Ecco alcuni suggerimenti utili e 4 stagioni, come gli armadi o la pizza a seconda dei gusti:
(i) individuare gli archivi cartacei impiegati;
(ii) tracciare il processo di formazione, trasmissione e archiviazione dei documenti;
(iii) sensibilizzare l’organizzazione (management e operatori) sui rischi di sicurezza delle informazioni trattate secondo modalità analogiche;
(iv) classificare la documentazione cartacea secondo sensibilità;
(v) definire una procedura di scarto in sicurezza del documento cartaceo.

La privacy spiegata bene e fatta meglio. Artigianale. A misura d’uomo.

Servizi

DAL BLOG

Panoramica privacy

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.