Linee Guida sulla formazione, gestione e conservazione dei documenti informatici

Parere sulle modalità di consegna della ricetta medica elettronica
23 Marzo 2020
Privacy e minori: didattica a distanza
24 Marzo 2020

Linee Guida sulla formazione, gestione e conservazione dei documenti informatici

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

Visto il Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), di seguito Regolamento;

Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali, così come modificato dal decreto legislativo 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”, di seguito Codice;

Visti gli artt. 14-bis e 71 del decreto legislativo 7 marzo 2005, n. 82, recante il “Codice dell’amministrazione digitale” (di seguito CAD) e la determinazione dell’Agenzia per l’Italia digitale (AgID) n. 160 del 2019, recante il “Regolamento per l’adozione di linee guida per l’attuazione del Codice dell’Amministrazione Digitale”, che disciplinano le procedure per l’adozione di linee guida contenenti le regole tecniche e di indirizzo, previa consultazione pubblica e sentiti l’amministrazione interessata e il Garante per la protezione dei dati personali, nonché l’acquisizione del parere della Conferenza unificata;

Vista la richiesta di parere di AgID;

Vista la documentazione in atti;

Viste le osservazioni del Segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000”;

Relatore la prof.ssa Licia Califano;

PREMESSO

L’AgID ha inoltrato con nota del 14 ottobre 2019, la richiesta di parere sullo schema di “Linee Guida sulla formazione, gestione e conservazione dei documenti informatici”, successivamente integrata e modificata con la nota del 4 dicembre 2019, anche tenendo conto degli esiti della consultazione pubblica effettuata.

Lo schema è volto ad aggiornare, in un’ottica di semplificazione normativa, le regole tecniche concernenti la formazione, protocollazione, gestione e conservazione dei documenti informatici.

Secondo quanto indicato nel predetto schema (par. 1.4), vengono abrogati il d.P.c.m. 13 novembre 2014 contenente “Regole tecniche in materia di formazione, trasmissione, copia, duplicazione, riproduzione e validazione temporale dei documenti informatici”, sul quale il Garante aveva reso parere il 24 aprile 2013 (doc. web n. 2460830), nonché il d.P.c.m. 3 dicembre 2013, contente “Regole tecniche in materia di sistema di conservazione” (ad eccezione dell’art. 13), sul quale il Garante aveva reso parere il 24 aprile 2013 (doc. web n. 2470970). Con riferimento, invece, al d.P.c.m. 3 dicembre 2013 contenente “Regole tecniche per il protocollo informatico”, sul quale il Garante aveva reso parere il 24 aprile 2013 (doc. web n. 2471217), è prevista l’abrogazione soltanto di alcune disposizioni.

RILEVATO

Lo schema in esame, integrato da 6 Allegati, è stato predisposto da AgID, tenendo conto di alcune indicazioni fornite dall’Autorità, anche nel corso di incontri di lavoro con i rappresentanti dell’Agenzia, relative alla corretta individuazione degli adempimenti e delle misure di sicurezza, tecniche e organizzative, necessarie a soddisfare i requisiti del Regolamento, da parte dei diversi soggetti coinvolti nella gestione documentale.

Nel prendere atto delle modifiche ed integrazioni apportate dall’AgID, nella versione dello schema in esame, che tiene conto anche degli esiti della consultazione pubblica effettuata, si evidenzia la necessità di alcuni ulteriori perfezionamenti, volti a renderlo pienamente conforme ai principi e alle garanzie in materia di protezione dei dati personali, con riferimento ai punti sotto riportati.

1. Definizioni

In primo luogo, si ritiene opportuno prevedere una definizione uniforme di “sistema informatico”, considerato che, nello schema, ci si riferisce al predetto sistema, nell’ambito del cap. 3, con tre distinte nozioni:

– sistema di protocollo informatico (par. 3.1.6);

– sistema di gestione documentale (cfr. par. 3.2);

– sistema di gestione informatica dei documenti (cfr. par. 3.3.2).

Si segnala, inoltre, l’opportunità di uniformare la rubrica dei capitoli 3.9 “Misure di sicurezza” e 4.11 “Sicurezza del sistema di conservazione”, essendo riferiti entrambi a misure di sicurezza concernenti, rispettivamente, il sistema di gestione documentale e quello di conservazione.

Infine, con specifico riferimento all’Allegato 1 “Glossario dei termini e degli acronimi” si suggeriscono le modifiche ed integrazioni di seguito indicate:

– dovrebbe essere inserita la definizione di Responsabile per la protezione dei dati personali (v. artt. 37 e 38 del Regolamento), considerato che, nel testo dello schema, è citata più volte questa figura;

– con riferimento al “Piano della sicurezza del sistema di gestione informatica dei documenti” e al “Piano della sicurezza del sistema di conservazione”, si propone di eliminare, in entrambe le definizioni, l’inciso che fa riferimento all’organizzazione di appartenenza, per evitare fraintendimenti per i quali potrebbero essere presi in esame esclusivamente rischi interni all’organizzazione e non anche quelli che potrebbero verificarsi presso eventuali fornitori esterni.

2. Ambito di applicazione dello schema

Con riferimento all’ambito soggettivo di applicazione, è previsto che lo schema si applichi ai soggetti indicati nell’art. 2, commi 2 e 3 del CAD e, dunque, in determinati settori, anche ai soggetti privati, ove non diversamente stabilito (cfr. par. 1.2).

Sul punto non risulta chiaro se, per tali, debbano essere intesi indistintamente tutti i soggetti privati, ovvero soltanto quelli ai quali è specificamente affidata, da parte delle pubbliche amministrazioni, un’attività di gestione o conservazione dei documenti informatici.

3. Sicurezza dei dati e dei sistemi

Secondo lo schema, la gestione documentale si configura come un processo suddiviso in tre fasi principali: formazione, gestione e conservazione, nell’ambito delle quali le diverse attività “si distinguono per complessità, impatto, natura, finalità…” e rispetto alle quali corrispondono approcci e prassi operative distinte (par. 1.11).

Lo schema reca disposizioni di carattere generale in materia di misure di sicurezza, considerato che le misure tecniche ed organizzative devono essere descritte nei manuali rispettivamente adottati dal Responsabile per la gestione e da quello per la conservazione (par. 3.9 e par. 4.11). Tuttavia, in considerazione delle implicazioni connesse al trattamento dei dati personali contenuti nei documenti informatici, tra i quali potrebbero essere compresi anche quelli riferibili alle categorie particolari di cui all’art. 9 e 10 del Regolamento, appare necessario integrare lo schema prevedendo accorgimenti e misure che prevedano un incremento del livello di sicurezza, anche in funzione delle tipologie di dati verosimilmente trattati, nell’ambito dei predetti sistemi informatici.

In particolare, si osserva quanto segue:

– lo schema in esame richiama in più punti (cfr. in particolare, par. 3.9 e par. 4.11), con riferimento alle misure di sicurezza, le “Linee guida AgID in materia di misure minime di sicurezza ICT per le pubbliche amministrazioni”, emanate da AgID nel 2017 e, dunque, prima della applicabilità del Regolamento. Come già evidenziato nel parere del 30 gennaio 2020 n. 16, in via generale, si osserva che il rinvio alle predette linee guida, nell’ambito dei requisiti di sicurezza cui sono tenuti i vari soggetti coinvolti nel trattamento, non è di per sé sufficiente ad assicurare l’adozione di misure di sicurezza del trattamento adeguate, in conformità al Regolamento, a norma del quale, occorre invece valutare, in concreto, i rischi che possono derivare, in particolare, dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati;

–  con specifico riferimento al possibile utilizzo di sistemi di conservazione in Cloud, lo schema prevede che siano adottate “misure di sicurezza conformi” a quelle stabilite dallo schema in esame (par. 4.9 “Infrastrutture”). Anche in questo caso, è opportuno integrare lo schema, al fine di richiamare i titolari al rispetto del principio di integrità e riservatezza, nonché dei principi di protezione fin dalla progettazione e per impostazione predefinita, e dei conseguenti adempimenti previsti dal Regolamento (art. 25 e 32 del Regolamento);

– nel caso di esibizione dei documenti (par. 4.10), soprattutto nell’ipotesi di esternalizzazione del servizio di conservazione, è opportuno precisare nello schema che, nel consentire l’accesso diretto, ai soggetti autorizzati, anche da remoto, agli oggetti digitali conservati, al fine di assicurare un livello di sicurezza adeguato al rischio, i sistemi di autenticazione informatica devono garantire modalità di accesso diverse, in funzione delle tipologie di dati personali trattati, nonché delle operazioni di trattamento consentite.

4. Ruoli e responsabilità dei soggetti coinvolti nei trattamenti dei dati

Nell’ambito delle diverse fasi di gestione documentale, intervengono soggetti diversi a cui sono attribuiti compiti e funzioni specifiche. Al riguardo, si osserva che una chiara attribuzione dei compiti è il presupposto necessario per garantire anche una corretta ripartizione delle responsabilità, in relazione al trattamento dei dati personali.

In generale, occorre, nello schema in esame, rendere evidente che il dovere di adottare e mettere in atto tutte le misure di sicurezza adeguate ricade, in primo luogo, in capo al titolare del trattamento, ai sensi degli articoli 24 del Regolamento.

A tal fine, si osserva quanto segue:

– in relazione alle misure di sicurezza, di cui al par. 3.9, ed in particolare alla frase “Il responsabile della gestione documentale […] predispone il piano della sicurezza del sistema di gestione informatica dei documenti, mettendo in atto opportune misure tecniche e organizzative” sarebbe opportuno chiarire che il responsabile della gestione documentale, nella redazione del piano, deve prevedere, oppure indicare, quali misure tecniche ed organizzative dovranno essere messe in atto dal titolare del trattamento, o eventualmente la cui adozione dovrà essere attuata dal responsabile del trattamento individuato sulla base dell’art. 28 del Regolamento;

– tra le attività affidate al “Responsabile della conservazione” (cfr. par. 4.6) vi è quella per cui lo stesso “predispone le misure necessarie per la sicurezza fisica e logica del sistema di conservazione come previsto dal par. 4.11” e, anche in questo caso, sarebbe opportuno chiarire che l’adozione delle misure è in capo al titolare o, in caso di trattamento effettuato per suo conto, al responsabile del trattamento e non al responsabile del sistema di gestione;

– nell’ambito della “Sicurezza del sistema di conservazione” (cfr. par. 4.11) la previsione secondo cui “nel caso di affidamento esterno del servizio di conservazione le misure di sicurezza sono descritte nel manuale del conservatore” sembrerebbe sollevare il titolare del trattamento dall’onere di indicare/descrivere le misure di sicurezza, aggiuntive e richieste al conservatore esterno, mediante il citato rinvio al manuale del conservatore, come peraltro previsto in relazione alle “Modalità di esibizione” (cfr. par. 4.10), secondo cui le misure di sicurezza da adottare “sono concordate tra le parti e indicate nei rispettivi manuali”.

5. Esternalizzazione dei servizi

Lo schema prevede la possibilità per il titolare del trattamento, pubblica amministrazione, di esternalizzare alcuni servizi anche a soggetti terzi (cfr. par. 1.11), aspetto che presenta specifiche criticità per il trattamento dei dati personali.

Lo schema non reca disposizioni specifiche in materia di sicurezza distinte nel caso in cui i richiamati servizi siano affidati a soggetti privati prevedendo, peraltro, soltanto nel caso del servizio di conservazione, che lo stesso sia affidato dal titolare del trattamento (la pubblica amministrazione) a conservatori “accreditati” (par. 4.3).

Al fine di assicurare il rispetto dei requisiti previsti dall’art. 28 Regolamento, è però necessario che lo schema sia integrato prevedendo l’obbligo di individuare tali soggetti esterni quali responsabili del trattamento, ricorrendo, peraltro, “unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato”, anche in considerazione dei rischi per i diritti e le libertà degli interessati e della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento effettuato.

In tal senso, fermi restando gli obblighi di sicurezza che ricadono in capo al titolare e al responsabile (art. 32 del Regolamento), le clausole contrattuali devono essere redatte in conformità ai requisiti ed ai principi previsti dal Regolamento, anche con riferimento alla corretta ripartizione delle responsabilità circa i rischi e la conformità dei trattamenti al Regolamento stesso.

Sotto il profilo della sicurezza, nel richiamare quanto già evidenziato con riferimento alle “Linee guida AgID in materia di misure minime di sicurezza ICT per le pubbliche amministrazioni”, è opportuno evidenziare nello schema, quanto ai soggetti privati, l’obbligo che i predetti servizi siano sempre organizzati nel rispetto dei principi e dei requisiti previsti in materia di sicurezza dei dati e dei sistemi dal Regolamento (artt.  32 – 34), avuto riguardo anche alla notifica delle violazioni dei dati personali di cui all’art. 33 del Regolamento stesso.

***

Considerato quanto sopra si ritiene, per i profili di competenza, che lo schema in esame, opportunamente integrato in conformità a quanto sopra osservato, non presenti profili di criticità.

Più in generale, si ritiene, comunque, opportuno ribadire che i titolari del trattamento devono mettere in atto, ed essere in grado di comprovare, al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati, l’adozione di misure tecniche ed organizzative adeguate avendo riguardo anche ai principi della protezione dei dati fin dalla progettazione e della protezione dei dati per impostazione predefinita (artt. 5, 24 e 25 del Regolamento). A tal fine, potrebbe essere incoraggiata anche da parte di AgID, l’adozione e l’adesione da parte dei predetti titolari e responsabili del trattamento a Codici di condotta (art. 40 del Regolamento) o regole deontologiche (art. 2-quater del Codice). Tali modelli di riferimento potrebbero essere tenuti in considerazione anche da parte dei soggetti privati che offrono servizi di gestione documentale e dalle rispettive associazioni di categoria.

Con riferimento a questi aspetti, l’Autorità è pronta a incoraggiare e supportare l’AgID e le pubbliche amministrazioni, nell’integrazione della sicurezza informatica con gli ulteriori requisiti e strumenti individuati dal Regolamento.

TUTTO CIO’ PREMESSO IL GARANTE

ai sensi degli artt. 36, par. 4, e 57, par. 1, lett. c), del Regolamento, esprime parere nei termini di cui in motivazione sullo schema di “Linee guida sulla formazione, gestione e conservazione dei documenti informatici”, predisposto da AgID, ai sensi degli artt. 14-bis e 71 del decreto legislativo 7 marzo 2005, n. 82, Codice dell’amministrazione digitale.

Roma, 13 febbraio 2020