Skip to main content

Un tema in cui la capacità di una organizzazione di avere il controllo delle informazioni e dei documenti assume risvolti di particolare rilievo è quello, importantissimo, dei dati personali.
Il Regolamento europeo ha innovato e rinnovato le prospettive sulla privacy fornendo una importante occasione alle organizzazioni per gestire al meglio dati che veicolano le informazioni personali.
Vediamo come un sistema di gestione documentale efficacemente impostato sia strategico anche per rispondere alle istanze poste dalla disciplina sulla privacy.

Definizioni di base

Personal data

Tanto per cominciare “dalle basi”, ricordiamo che il dato è una componente informativa minima e che il dato personale è qualsiasi informazione riguardante una persona fisica identificata da una identificativo (nome, numero o altro), così come stabilisce l’articolo 4 del GDPR.
Sappiamo poi che il documento (sia esso digitale o meno) si forma nel corso di una attività pubblica o privata e viene poi conservato per diverse ragioni e per un tempo variabile in base a necessità, normativa, utilità, per ragioni giuridico probatorie, ecc.

Sgombrato il campo da eventuali dubbi terminologici e ricordando che il GDPR dispone le finalità e le modalità con cui una organizzazione pubblica o privata può trattare i dati personali, arriviamo al punto centrale del ragionamento che stiamo proponendo.

GDPR e sistema documentale: una questione di controllo

I dati personali trattati devono risiedere in qualche “luogo”: database informatici, ma anche documenti: non per nulla il GDPR ricomprende per il trattamento dei dati automatismi, semi-automismi o nessun automatismo (artt. 2 e 4).

Non è un mistero d’altronde che la gestione documentale oggi riguardi in grandissima parte oggetti ibridi e che il problema della ridondanza cartaceo-digitale sia diffusissimo.

GDPR

Appare dunque chiaro quanto sia importante considerare un insieme di molteplici elementi per governare le informazioni personali. Soprattutto dobbiamo ricordare che i titolari del trattamento devono adottare “misure tecniche ed organizzative adeguate” che consentano loro di assumersi la delicata responsabilità della protezione dei dati personali delle persone, sulla base del principio più innovatore contenuto nel GDPR: l’accountability. Essa include in se i concetti di responsabilità, trasparenza e compliance e comporta l’obbligo di dimostrare le attività che svolge e le misure che adotta.

Questo sia verso gli organismi di controllo, sia verso i diretti interessati.

Le misure da adottare per un sistema documentale GDPR-compliant

Quali sono queste misure tecniche e organizzative di cui il responsabile del trattamento può disporre?
Prima di tutto, un sistema documentale efficiente. Ben organizzato. Nel quale in modo veloce e semplice il titolare del trattamento possa garantire l’accesso alle informazioni personale a chi ne ha diritto.
Non solo.
Attraverso un sistema documentale adeguato il titolare può dimostrare che ha fatto e sta facendo bene il suo lavoro: tracciando le attività e i procedimenti con cui i dati sono trattati e proteggendoli allo stesso tempo a accessi non autorizzati. Avendo la possibilità di garantirne efficacemente la rettifica, la cancellazione, la modifica come previsto dal GDPR e come richiesto dal Garante, con un chiaro riferimento a dati di contesto relativi al contenuto informativo dei documenti e a fonti attendibili per il loro reperimento.
In altre parole, si chiede di applicare l’intelligenza al governo delle informazioni personali.
Sbaglia chi sostiene che basti una soluzione informatica e un paio di query in un data lake …!
Un sistema documentale basato sui suoi elementi fondamentali – regole e procedure – è la vera soluzione, la chiave per supportare al meglio le organizzazioni nel rispetto del Regolamento.

healthcheck documentale

Valuta lo stato di salute del tuo sistema documentale con il nostro “Healthcheck Documentale”.

Capirai anche se stai gestendo correttamente i dati personali all’interno della tua organizzazione

Healthcheck Documentale