Nell’ambito della predisposizione da parte dell’Agenzia per l’Italia digitale (di seguito “AgID”) della bozza di “Linee guida per la stesura del piano di cessazione del servizio di conservazione” (“Linee Guida”), le quali si inseriscono nel processo di attuazione del Codice per l’Amministrazione Digitale (“CAD”), il documento è stato sottoposto al parere dell’Autorità Garante per la protezione dei dati personali (il “Garante Privacy”). Le Linee Guida sono volte a implementare la gestione digitale dei procedimenti amministrativi, garantendo la corretta amministrazione dei documenti dalla produzione alla conservazione degli stessi. Il documento si inserisce, infatti, nel più ampio processo di digitalizzazione che vede coinvolta la pubblica amministrazione, i soggetti privati e, in generale, tutto il Paese. In particolare, la bozza di Linee Guida, che si compone di 6 allegati tecnici, individua le regole tecniche e di indirizzo che consentono al soggetto accreditato (“Soggetto Accreditato” o “Conservatore”) di porre in essere una corretta conservazione dei documenti informatici, quali a titolo esemplificativo, i documenti contabili e le dichiarazioni fiscali, e di predisporre un piano per la corretta migrazione dei dati che eviti perdite di informazioni, sia in caso di cessazione del servizio di conservazione sia in caso di revoca dell’accreditamento da parte dell’AgID nei confronti del Conservatore. Nella predisposizione del piano richiesto, il Soggetto Accreditato deve tenere conto di molteplici variabili e fattori di rischio, tra i quali (i) il grado di interoperabilità nei processi di migrazione; (ii) l’affidabilità dell’impianto tecnologico; (iii) i livelli di aggiornamento dello stesso; e (iv) il livello di sicurezza fisica e logica. Il Garante Privacy, nel parere rilasciato, ha ritenuto necessario che la bozza di Linee Guida sia sottoposta ad integrazione da parte dell’AgID, prevedendo regole più puntuali tali da garantire che i Soggetti Accreditati che si occupano di conservazione dei documenti informatici rispettino a pieno la normativa sulla protezione dei dati personali, in particolare il Regolamento UE 679/2016 (“GDPR”), nel caso in cui la fornitura del servizio offerto alla pubblica amministrazione e ai privati venga a cessare. In particolare, il Garante Privacy ha fornito le seguenti indicazioni: L’obiettivo delle indicazioni fornite dal Garante Privacy è quello di aumentare il livello di protezione dei dati personali contenuti nei documenti informatici nonché di garantire la sicurezza dei trattamenti, attraverso sia la previsione di regole più precise all’interno delle Linee Guida sia una più chiara attribuzione dei compiti e una più corretta ripartizione delle responsabilità. Tali integrazioni permetteranno, se applicate, di condurre le pubbliche amministrazioni e le imprese verso una corretta innovazione dei processi, per una digitalizzazione a “prova di privacy”, riducendo i rischi per i diritti e le libertà degli interessati.
