Ma il GDPR si applica ai dati cartacei? Ecco: questa è una domanda che di tanto in tanto mi viene sottoposta. E fin qui tutto bene. Il problema è quando questa domanda non viene fatta e si parte già dal presupposto (o pregiudizio, ma tanto sempre di un pre-qualcosa si tratta) che il GDPR riguarda esclusivamente i (trattamenti di) dati personali svolti tramite sistemi informatici.
Insomma: trattamenti automatizzati e che fanno beep boop bop (questa è per intenditori).
Occhio ad un particolare: se la domanda non viene fatta al consulente, possiamo ancora rimediare. Se invece non viene fatta dal consulente, allora c’è un bel problema di fondo.
Il rischio infatti è che non ci si vada ad occupare di tutte quelle attività di trattamento che vengono svolte tramite modalità non automatizzate.
Insomma, l’art. 2 GDPR definisce l’ambito di applicazione della norma:
“Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.” (art. 2.1 GDPR)
da cui emerge che gli adempimenti del GDPR riguardano anche dati personali trattati in modalità non automatizzata purché siano contenuti in un archivio o destinati a figurarvi. E la definizione di archivio la fornisce proprio lo stesso GDPR:
“qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;” (art. 4.1 n. 6 GDPR)
Quanto viene richiesto è di conseguenza che anche tutti quei dati che vengono raccolti, trattati e archiviati secondo modalità analogiche trovino delle garanzie di qualità e sicurezza. Il che corrisponde all’adempimento di precisi obblighi in capo al titolare del trattamento.
Ma siamo sicuri?
La sicurezza delle informazioni, è bene ricordare, riguarda il mantenimento della triade confidenzialità-integrità-disponibilità a prescindere dalla tipologia di supporto impiegato.
Ma l’aspetto della sicurezza dei dati trattati secondo modalità non automatizzate è un elemento da dover considerare sia per identificare le fonti di rischio specifiche che le contromisure che è possibile adottare.
Alcuni esempi di contromisure adottabili in tal senso possono essere:
– l’accesso controllato alle stanze degli archivi;
– la previsione delle distanze di cortesia;
– un progetto di digitalizzazione degli archivi cartacei.
A tale riguardo è bene ricordare che anche una violazione di un dato personale trattato secondo modalità non automatizzate costituisce data breach.
GDPR e dati cartacei: spunti pratici
Gli adempimenti del GDPR applicabili ai dati cartacei sono ad esempio la rendicontazione dei trattamenti all’interno dei registri, l’informazione degli interessati, la responsabilizzazione e l’istruzione dei soggetti autorizzati all’accesso, la procedura di scarto documentale.
Come evitare un effetto domino degli inadempimenti?
Ecco alcuni suggerimenti utili e 4 stagioni, come gli armadi o la pizza a seconda dei gusti:
(i) individuare gli archivi cartacei impiegati;
(ii) tracciare il processo di formazione, trasmissione e archiviazione dei documenti;
(iii) sensibilizzare l’organizzazione (management e operatori) sui rischi di sicurezza delle informazioni trattate secondo modalità analogiche;
(iv) classificare la documentazione cartacea secondo sensibilità;
(v) definire una procedura di scarto in sicurezza del documento cartaceo.
