Tempo di lettura: 2 minuti
Ai sensi dell’art. 29 del Codice dell’Amministrazione Digitale i soggetti che intendono fornire servizi fiduciari qualificati devono disporre di requisiti di onorabilità, tecnologici e organizzativi, nonché’ delle garanzie assicurative e di eventuali certificazioni, adeguate rispetto al volume dell’attività svolta e alla responsabilità assunta nei confronti dei propri utenti e dei terzi.
Detti soggetti, che intendono fornire servizi fiduciari qualificati, sono tenuti a redigere internamente apposite procedure che AgID ha formalmente descritto nell’apposita Lista di riscontro del 14 aprile del 2017.
Precisamente al punto 25 della Lista di riscontro, AgID richiede di fornire al soggetto che intende offrire servizi fiduciari un piano strategico che descriva l’approccio dell’ente conservatore alla conservazione a lungo termine, in modo coerente con la propria missione”. Con tale affermazione AgID, nel tutelare il dato conservato richiede che in fase di certificazione venga fornito un apposito piano che assicuri la disponibilità del dato conservato anche in caso di cessazione della attività da parte del soggetto fiduciario.
Le linee guida AgID, sul piano di cessazione del servizio di conservazione, stabiliscono chiaramente quali sono le regole che un soggetto che intende fornire servizi fiduciari deve rispettare per garantire all’ente produttore che il suo dato conservato, sia conservato a lungo termine anche in caso di cessazione della propria attività.
In particolare, devono essere definite nel piano di cessazione del servizio di conservazione:
1) Le terze parti coinvolte;
2) Una analisi dei rischi;
3) Una programmazione delle attività di cessazione;
4) Una descrizione del processo di cessazione;
5) Comunicazione ad AgID;
6) Comunicazione a eventuali terze parti coinvolte;
7) Trasferimento degli archivi conservazione;
8) Tempistiche di trasferimento degli archivi;
9) Predisposizione delle infrastrutture per la migrazione;
10) Il passaggio delle responsabilità;
11) Cancellazione degli archivi.
Rispetto alle linee guida sopra richiamate ha formulato parere il Garante Privacy evidenziando alcune criticità, già osservate in passato, e richiedendo che il piano di cessazione vada integrato al fine di assicurare una corretta applicazione del Regolamento Europeo sulla protezione dei dati. In particolare
– si ribadisce la necessità che nel caso in cui ci si avvalga di terze parti per compiere operazioni che comportino il trattamento dei dati tali soggetti siano individuati come Responsabili del trattamento, nel rispetto dei requisiti previsti dall’art. 28 del Regolamento;
– deve essere effettuata un’analisi dei rischi connessi al trattamento dei dati trattati nell’ambito del servizio di conservazione con particolare riguardo ai pacchetti di archiviazione;
– deve essere previsto che nel processo di cessazione sia coinvolto anche il responsabile per la protezione dei dati;
– viene ribadito che deve essere rispettata la prescrizione di cui all’art. 28, par. 3, lett. g) relativamente alla necessità che su scelta del titolare del trattamento, il Responsabile (conservatore) cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati;
– sia precisato che il trasferimento degli archivi da parte del soggetto cessante potrà avvenire solo su espressa indicazione del produttore, previa designazione del soggetto subentrante quale responsabile del trattamento, in conformità all’art. 28 del Regolamento;
– sia prevista l’adozione di adeguate misure di sicurezza volte a garantire il rispetto dell’art. 32 del Regolamento, avuto riguardo alla riservatezza, integrità e disponibilità dei dati contenuti nei documenti conservati;
– sia specificato che la cancellazione deve avvenire con modalità sicure e che “il congruo periodo di tempo”, nel corso del quale il conservatore cessante deve garantire l’accessibilità di documenti e dati, sia individuato precisamente nel Piano di cessazione.
In sostanza il Garante Privacy ha ribadito la necessità di intervenire al fine di garantire maggiore tutela per la protezione dei dati personali contenuti nei documenti informatici, garantendo la sicurezza del trattamento, anche attraverso una più chiara attribuzione dei compiti e delle responsabilità.