Notizie, Eventi e Video

Linee Guida AGID sui documenti informatici: attenzione alla privacy!

  • 9 Dicembre 2021

Scaduto il periodo di proroga, le “Linee guida su formazione, gestione e conservazione dei documenti informatici” dell’AGID saranno pienamente applicabili dal primo gennaio 2022.

Lo scopo delle Linee Guida è duplice:

  1. a) aggiornare le attuali regole tecniche in base all’art. 71 del Codice dell’Amministrazione Digitale, concernenti la formazione, protocollazione, gestione e conservazione dei documenti informatici;
  2. b) incorporare in un’unica linea guida le regole tecniche e le circolari in materia, addivenendo ad un “unicum” normativo che disciplini gli ambiti sopracitati.

L’obiettivo generale è, quindi, quello di semplificare la gestione complessiva del documento informatico attraverso una visione d’insieme che aggrega in un “corpo unico” materie prima disciplinate separatamente.

Tali disposizioni, pur indirizzate in via principale alle pubbliche amministrazioni, ai gestori di  servizi  pubblici e alle società a controllo pubblico, sono di interesse anche per i soggetti privati.

Infatti le disposizioni del CAD e le relative Linee  guida concernenti:

  • il documento informatico;
  • le firme  elettroniche  e  i servizi fiduciari (artt. 20-39);
  • la riproduzione e conservazione dei documenti (artt. 43 e 44 );
  • il domicilio digitale  e le comunicazioni elettroniche (artt. 3-bis e 45-49);
  • l'identità digitale (artt. 3-bis e  64)

si  applicano anche ai privati, ove non diversamente previsto.

Per quanto attiene alla normativa in tema di trattamento dei dati personali si evidenziano tre aspetti che dovranno essere considerati in sede di implementazione degli adempimenti richiesti dalle Linee Guida:

  1. Sicurezza dei dati e dei sistemi.

Sono richiamate in più punti le “Linee guida AgID in materia di misure minime di sicurezza ICT per le pubbliche amministrazioni”, emanate da AgID nel 2017 e, dunque, prima della applicabilità del GDPR. Il rinvio alle predette linee guida, nell’ambito dei requisiti di sicurezza cui sono tenuti i vari soggetti coinvolti nel trattamento, non è di per sé sufficiente ad assicurare l’adozione di misure di sicurezza del trattamento adeguate, in conformità al GDPR, a norma del quale, occorre invece valutare, in concreto, i rischi che possono derivare, in particolare, dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

  1. Ruoli e responsabilità dei soggetti coinvolti nei trattamenti dei dati

Nell’ambito delle diverse fasi di gestione documentale, intervengono soggetti diversi a cui sono attribuiti compiti e funzioni specifiche. Al riguardo, si osserva che una chiara attribuzione dei compiti è il presupposto necessario per garantire anche una corretta ripartizione delle responsabilità, in relazione al trattamento dei dati personali.

  1. Esternalizzazione dei servizi

Le Linee Guida prevedono la possibilità per il titolare del trattamento di esternalizzare alcuni servizi anche a soggetti terzi, aspetto che presenta specifiche criticità per il trattamento dei dati personali.

Al fine di assicurare il rispetto dei requisiti previsti dall’art. 28 del GDPR, è però necessario ricordare che il Titolare ha l’obbligo di individuare tali soggetti esterni quali responsabili del trattamento, ricorrendo, peraltro, “unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato”, anche in considerazione dei rischi per i diritti e le libertà degli interessati e della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento effettuato.

Hai qualche domanda? Scrivici!