Con provvedimento del 16 aprile scorso il Garante privacy ha espresso il suo parere sulle Linee guida per la stesura del piano di cessazione del servizio di conservazione dei documenti digitali elaborate da AgID e che porteranno all’adozione, da parte di tutti i conservatori di documenti informatici accreditati, di apposite procedure in caso di cessazione (volontaria o imposta) del servizio.
Indice degli argomenti
Conservazione dei documenti digitali: la normativa
La normativa in tema di conservazione dei documenti informatici prevede, agli artt. 43 e 44 del C.A.D. (Codice dell’Amministrazione Digitale), rigide procedure in materia, a cui fanno capo apposite linee guida AgID (emanate nel dicembre 2015) che disciplinano nel dettaglio l’accreditamento e le attività del soggetto che cura l’attività di conservazione.
L’Agenzia per l’Italia Digitale si è ora occupata di normare la delicata fase di cessazione, da parte del conservatore, del servizio di conservazione, sia che tale cessazione dipenda da libera scelta del conservatore accreditato, sia che questa dipenda dalla perdita dell’accreditamento.
Tale normativa è necessaria in quanto il Regolamento eIDAS (Reg. UE 910/2014) all’art. 24 prescrive che tutti i fornitori di servizi fiduciari qualificati nell’ambito di servizi informatici in Unione Europea siano dotati di un piano di cessazione delle attività aggiornato per garantire la continuità del servizio.
In buona sostanza, il processo giuridico per cui questo passaggio è necessario (un po’ contorto) è il seguente:
- il Codice dell’Amministrazione Digitale prevede che la normazione di dettaglio delle regole in esso contenute sia effettuata attraverso Linee guida da emanarsi a cura dell’AgID;
- il Regolamento eIDAS (fonte sovraordinata al Codice dell’Amministrazione Digitale) prevede che i fornitori di servizi fiduciari qualificati abbiano un piano di cessazione delle attività;
- il Codice dell’Amministrazione Digitale parifica i conservatori di documenti informatici accreditati ai fornitori di servizi fiduciari qualificati, rendendo così necessaria la predisposizione, per questi ultimi, di un piano di cessazione delle attività.
Per questo motivo, AgID ha lavorato ad una bozza di “Linee guida per la stesura del piano di cessazione del servizio di conservazione dei documenti digitali” le quali, prima della loro emanazione, sono state rese disponibili in consultazione pubblica dal 20 novembre al 20 dicembre 2019, quindi sono state sottoposte, come prescrive l’art. 71 del Codice dell’Amministrazione Digitale, al preventivo parere del Garante privacy.
Le stesse diverranno efficaci dopo la loro pubblicazione nell’apposita area del sito web istituzionale dell’AgID (della pubblicazione sarà inoltre data notizia nella Gazzetta Ufficiale della Repubblica italiana).
Dopo aver esaminato la bozza delle Linee guida, il Garante ha risposto con un provvedimento del 16 aprile scorso (Prov. n. 74 del 16 aprile 2020) con cui ha sollevato alcune perplessità in ordine alla tutela dei dati personali per come prevista nel lavoro di AgID.
Il Garante in particolare evidenzia come nelle Linee guida (e nel relativo allegato tecnico che contiene lo schema del Piano di cessazione del servizio di conservazione, che ogni conservatore accreditato dovrà adottare entro tre mesi dall’entrata in vigore delle Linee guida, per poter gestire in maniera efficace l’eventuale fase di interruzione del servizio, mentre per i futuri accreditamenti dovrà essere allegato direttamente alla domanda di accredito) non prescrivano sufficienti presidi privacy.
Secondo il Garante, infatti, va ricordato al conservatore accreditato che in ogni fase è necessario adottare, ai sensi dell’art. 32 del Regolamento GDPR, misure tecniche e organizzative adeguate a garantire la protezione dei dati personali contenuti nei documenti oggetto di conservazione, o comunque trattati, individuando anche procedure per la gestione delle violazioni di dati personali, in conformità a quanto previsto dall’art. 33 e seguenti del Regolamento GDPR.
Insomma, non è solo necessario costruire un piano per la cessazione del servizio di conservazione, ma è necessario anche costruire un piano per gestire e garantire la data protection durante questa fase (reagendo anche ad eventuali data breach).
Conservazione dei documenti digitali: le Linee guida
Venendo al dettaglio delle Linee guida, queste prevedono che il Conservatore di documenti informatici accreditato che intende cessare l’attività di conservazione avvia tale procedura dandone comunicazione ad AgID almeno 60 giorni prima della data di cessazione.
La cessazione deve avvenire seguendo quanto prescritto dal piano disciplinato dalle linee guida, il quale si suddivide in otto parti distinte e precisamente:
- Introduzione
- Definizioni e acronimi
- Riferimenti normativi
- Terze parti coinvolte
- Analisi dei rischi
- Programmazione delle attività di cessazione
- Descrizione del processo di cessazione
- Cancellazione degli archivi di conservazione
In buona sostanza il piano di cessazione prevede una preventiva analisi dei rischi relativi alla cessazione del servizio di conservazione, per poi descrivere nel dettaglio il processo di cessazione, individuandone modi e tempistiche.
Il processo di cessazione, in particolare, passa dalla comunicazione della cessazione ai clienti e ad AgID, nonché infine ad eventuali terze parti coinvolte.
A questo punto il piano dovrebbe prevedere una analisi degli archivi, per poi programmare l’attività di trasferimento degli stessi ad un soggetto subentrante (fase di migrazione) chiudendo poi il processo con la cancellazione dei dati vera e propria da parte dell’ormai ex conservatore.
Ogni fase del processo è accompagnata da prescrizioni tecniche dettagliate, come la realizzazione di un elenco di consistenza degli archivi e la realizzazione di un diagramma di GANTT condiviso fra conservatore in cessazione e conservatore subentrante a supporto della fase di trasferimento.
Le censure del Garante
Il Garante si concentra appunto sullo schema, nel proprio parere, ed afferma ad esempio che:
- quanto alla parte 4 (Terze parti coinvolte) il Garante sottolinea che, nel caso in cui ci si avvalga di soggetti terze per compiere operazioni che comportano il trattamento di dati personali, è necessario ribadire la necessità che tali soggetti siano individuati come Responsabili esterni del trattamento ai fini privacy;
- quanto alla parte 5 (Analisi dei rischi) il Garante evidenzia la necessità di una valutazione specifica relativa ai rischi connessi al trattamento dei dati personali trattati nell’ambito del servizio, che tenga in particolare conto della tipologia di dati conservati (es: dati appartenenti a categorie particolari o relativi a condanne penali e reati, che ben possono essere contenuti all’interno dei documenti affidati al conservatore e che devono essere trattati con maggior rigore rispetto ai dati c.d. “comuni”);
- quanto alla parte 6 (Programmazione delle attività di cessazione) il Garante richiama la necessità di coinvolgere il DPO nel processo di cessazione;
- quanto alla parte 7 (Comunicazione al cliente del servizio) il Garante fa plurime osservazioni, dovute in particolare al ruolo di responsabile esterno del trattamento che assume questa volta il conservatore accreditato nei confronti del cliente (ogniqualvolta il cliente affida al conservatore dati di propri clienti, fornitori, collaboratori o dipendenti, di fatto il conservatore opera quale responsabile esterno del trattamento che effettua per il cliente, ed infatti i conservatori accreditati per solito prevedono una “auto-nomina” a responsabile esterno direttamente nel contratto con cui si accede al servizio). Il Garante raccomanda in particolare che il conservatore rispetti gli oneri che la normativa europea GDPR gli impone, prevedendo in particolare adeguate misure di sicurezza volte a garantire la riservatezza, integrità e disponibilità dei dati contenuti nei documenti conservati, e che il conservatore non trasferisca i dati ad un soggetto che dovesse eventualmente subentrargli senza l’assenso del cliente e la nomina quale responsabile esterno del subentrante da parte del cliente.
- quanto, infine, alla parte 8 (Cancellazione degli archivi di conservazione), il Garante raccomanda che sia specificato che la cancellazione dei dati deve avvenire con modalità sicure e che “il congruo periodo di tempo”, nel corso del quale il conservatore cessante deve garantire l’accessibilità di documenti e dati, sia individuato con precisione nel piano di cessazione.
L’intervento del Garante, più forma che sostanza
Nel proprio parere il Garante Privacy muove, dunque, ad AgID considerazioni analoghe a quelle già rilevate, nel recente passato, in occasione del parere prestato sempre a quest’ultima Agenzia sullo schema di “Linee Guida sulla formazione, gestione e conservazione dei documenti informatici” del 13 febbraio 2020.
A quanto pare l’AgID è ricaduta pressoché negli stessi errori, presentando nuovamente uno schema mancante degli opportuni accorgimenti dal punto di vista della protezione dei dati personali.
Ne è scaturita la necessità da parte del Garante di evidenziare alcuni aspetti che, sebbene risultino alquanto ovvi per chi ha dimestichezza con la disciplina del Reg. UE 679/2016, non potevano non essere richiamati dalle Linee Guida in materia di cessazione del servizio di conservazione.
Le osservazioni fornite dal Garante sono tese a responsabilizzare il conservatore, il cui ruolo di responsabile ex art. 28 GDPR viene ribadito, come anche la necessità di adottare adeguate misure di sicurezza per il “trasferimento degli archivi di conservazione”, conformemente al ben noto principio di accountability introdotto dal GDPR.
Le altre osservazioni hanno lo scopo di assicurare una migliore coordinazione del processo di migrazione dei dati, attraverso il coinvolgimento del DPO e la previa designazione da parte del titolare di un soggetto subentrante nella gestione degli archivi.
C’è anche da dire, però, che la questione sollevata dal Garante non sembra abbia un influsso sostanziale sul contenuto delle Linee guida.
Se il Garante insiste per un auspicabile coordinamento e “raccordo” fra le Linee guida e la disciplina privacy, è anche vero che, anche nel caso in cui il piano di cessazione non si curasse degli aspetti privacy, gli stessi sarebbero comunque ugualmente vincolanti in forza della disciplina di cui al GDPR.
Quindi, sia che il piano di cessazione includa gli aspetti privacy, sia che se ne disinteressi, ciò non vuol dire che il DPO non debba essere coinvolto nel processo di cessazione, non vuol dire che eventuali terzi coinvolti debbano essere individuati come responsabili esterni del trattamento, né vuol dire che non sia necessaria un’analisi dei rischi relativi al processo di conservazione.
Questi aspetti discendono direttamente dal Reg. UE 679/2016 ed è unicamente per buona tecnica normativa e per un opportuno coordinamento degli strumenti che il piano di cessazione deve includere gli aspetti di data protection.
Il Garante, in sostanza, non individua nella Linee guida proposte da AgID reali carenze dal punto di vista privacy, bensì unicamente un difetto di coordinamento, difetto di coordinamento che però potrebbe portare a involontarie “dimenticanze” degli aspetti privacy (dimenticanze cui il settore pubblico e quello privato ci hanno purtroppo troppo spesso abituato nel recente passato).
La privacy, in questi anni, cerca quindi di ritagliarsi il proprio spazio anche imponendo una tecnica normativa che ribadisca gli aspetti di data protection, perché un settore che spesso viene trascurato ha bisogno di ripetizioni per entrare nel nostro modo di pensare e per far capire che la protezione dei dati personali è un concetto circolare che permea ogni aspetto della vita aziendale e degli enti, e che ogni processo (specie se informatico) deve essere svolto con un approccio di privacy by design e by default.
