Nell’ambito della predisposizione da parte dell’Agenzia per l’Italia digitale (di seguito “AgID”) della bozza di “Linee guida per la stesura del piano di cessazione del servizio di conservazione” (“Linee Guida”), le quali si inseriscono nel processo di attuazione del Codice per l’Amministrazione Digitale (“CAD”), il documento è stato sottoposto al parere dell’Autorità Garante per la protezione dei dati personali (il “Garante Privacy”).

Le Linee Guida sono volte a implementare la gestione digitale dei procedimenti amministrativi, garantendo la corretta amministrazione dei documenti dalla produzione alla conservazione degli stessi. Il documento si inserisce, infatti, nel più ampio processo di digitalizzazione che vede coinvolta la pubblica amministrazione, i soggetti privati e, in generale, tutto il Paese.

In particolare, la bozza di Linee Guida, che si compone di 6 allegati tecnici, individua le regole tecniche e di indirizzo che consentono al soggetto accreditato (“Soggetto Accreditato” o “Conservatore”) di porre in essere una corretta conservazione dei documenti informatici, quali a titolo esemplificativo, i documenti contabili e le dichiarazioni fiscali, e di predisporre un piano per la corretta migrazione dei dati che eviti perdite di informazioni, sia in caso di cessazione del servizio di conservazione sia in caso di revoca dell’accreditamento da parte dell’AgID nei confronti del Conservatore.

Nella predisposizione del piano richiesto, il Soggetto Accreditato deve tenere conto di molteplici variabili e fattori di rischio, tra i quali (i) il grado di interoperabilità nei processi di migrazione; (ii) l’affidabilità dell’impianto tecnologico; (iii) i livelli di aggiornamento dello stesso; e (iv) il livello di sicurezza fisica e logica.

Il Garante Privacy, nel parere rilasciato, ha ritenuto necessario che la bozza di Linee Guida sia sottoposta ad integrazione da parte dell’AgID, prevedendo regole più puntuali tali da garantire che i Soggetti Accreditati che si occupano di conservazione dei documenti informatici rispettino a pieno la normativa sulla protezione dei dati personali, in particolare il Regolamento UE 679/2016 (“GDPR”), nel caso in cui la fornitura del servizio offerto alla pubblica amministrazione e ai privati venga a cessare.

In particolare, il Garante Privacy ha fornito le seguenti indicazioni:

  1. è necessario che le Linee Guida ricordino che la normativa applicabile in materia di protezione dei dati personali impone al Conservatore (che in questo caso riveste il ruolo di Responsabile del trattamento ai sensi dell’art. 28 del GDPR) precisi obblighi in materia di restituzione dei dati al produttore del documento informatico (qualificabile come Titolare del trattamento);
  2. è importante che nel processo di cessazione del servizio sia coinvolto anche il Responsabile della protezione dei dati;
  3. ha invitato il singolo Conservatore ad ampliare l’”analisi dei rischi”, tenendo conto di quelli connessi al trattamento dei dati personali valutando, tra l’altro, la presenza di dati personali di categorie particolari, come quelli relativi alla salute, alle condanne penali o ai reati;
  4. ha previsto che il singolo Conservatore adotti adeguate misure di sicurezza per il “trasferimento degli archivi di conservazione”, così da garantire riservatezza, integrità e disponibilità dei dati contenuti nei documenti;
  5. ha infine precisato che, nel piano di conservazione predisposto, il Conservatore cessante dovrà indicare per quanto tempo sarà garantita l’accessibilità ai documenti, e definire modalità sicure per la “cancellazione degli archivi di conservazione”.

L’obiettivo delle indicazioni fornite dal Garante Privacy è quello di aumentare il livello di protezione dei dati personali contenuti nei documenti informatici nonché di garantire la sicurezza dei trattamenti, attraverso sia la previsione di regole più precise all’interno delle Linee Guida sia una più chiara attribuzione dei compiti e una più corretta ripartizione delle responsabilità. Tali integrazioni permetteranno, se applicate, di condurre le pubbliche amministrazioni e le imprese verso una corretta innovazione dei processi, per una digitalizzazione a “prova di privacy”, riducendo i rischi per i diritti e le libertà degli interessati.