Gdpr, cos’è un documento informatico e quali sono i requisiti per il trattamento in agenzia

by Commerciale | 22 Giugno 2018 7:00

Abbiamo visto nella newsletter dell’8 giugno [1]come la tutela della privacy passi inevitabilmente attraverso la digitalizzazione dei processi. Privacy e conservazione elettronica diventano allora un binomio inscindibile, poiché ogni documento sottoposto a conservazione contiene dati personali e spesso anche dati particolari (i cosiddetti dati sensibili) soggetti ad adempimenti preliminari obbligatori. Si pensi ad esempio ai dati personali dei clienti dell’agenzia di viaggi in occasione di pratiche di visti o polizze assicurative.

Ma cosa si deve intendere per documento informatico? La definizione è di ”un documento elettronico che contiene la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”. E non si fa riferimento ai soli file Pdf, perchè per il il Regolamento Eidas 910/2014 accolto dal codice dell’amministrazione digitale italiano, ad esempio le immagini riprese da un sistema di videosorveglianza o da un laboratorio sanitario sono a tutti gli effetti documenti informatici, che vanno quindi conservati secondo le regole tecniche di conservazione di cui ai DPCM 03.12.2013 e 13.11.2014.

Ma supponiamo di aver conservato un documento nativo digitale, il quale contenga una macro che lo rende modificabile ogni qualvolta venga aperto. È questo un documento informatico? Per rispondere alla domanda occorre considerare la sicurezza logica del documento stesso, cioè la sua capacità intrinseca di essere sicuro rispetto ai rischi che coinvolgono la sua integrità, i dati sensibili ivi contenuti e la reperibilità delle informazioni conservate. La sicurezza logica deve essere in grado di prevenire ogni minaccia che provenga dall’interno della struttura come dall’esterno, di natura accidentale, ma anche intenzionale.

Ne discende che il piano sulla sicurezza del sistema di conservazione deve includere anche i rischi relativi alla privacy. E poiché non esiste un sistema sicuro al 100% nasce il concetto di analisi dei rischi, che vuol dire calcolarli, prevederne l’impatto e assumere idonee misure preventive a contrasto.

Ricordiamo inoltre che non è sufficiente conservare in modo sicuro un dato particolare, ma occorre conservare  anche il consenso dell’interessato al trattamento: “Il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali” (art. 7 comma 1 del Regolamento Europeo n. 679/2016). Al documento in conservazione deve quindi essere collegata anche l’informativa e il consenso della persona cui il documenti si riferisce.

Ancora, è oggetto di dibattito in dottrina il tema della crittografia a norma dei documenti contenenti dati particolari. Tali documenti devono essere crittografati prima di essere versati in conservazione, con adeguati livelli di protezione e con accessi alla consultazione differenziati, eventualmente oscurando e/o anonimizzando alcune parti. Occorre valutare se convenga effettuare tale processo in house o in outsourcing, senza intralciare e rendere eccessivamente onerosa l’attività aziendale.

In conclusione, con il Gdpr nasce una sfida di tipo nuovo riguardo alle modalità di registrazione, conservazione e cancellazione dei dati dei cittadini europei nell’agenzia di viaggi e questo implica inevitabilmente di riconsiderare l’intero processo di lavoro in azienda.

Realizzare tutto ciò nominando Responsabile del trattamento un sistema di digitalizzazione totale come ©ADVMANAGER diventa a questo punto facile e immediato. Fare tutto da soli può essere molto complicato, costoso e veramente eccessivo per una Pmi.

Avv. Pietro Montella, Savino Solution Srl
Comitato Scientifico del Centro Studi ©TURISMO2000

 

La Newsletter del Centro Studi ©TURISMO2000, 22 giugno 2018, n. 27
Amministrazione Contabilità Fisco Digitalizzazione Pagamenti Normativa Economia Mercato
L’Agenzia di Viaggi Magazine media partner
[email protected][2]  /  www.advmanager.org[3]

Endnotes:
  1. newsletter dell’8 giugno : https://www.lagenziadiviaggimag.it/gdpr-lo-stretto-legame-gestionale-la-digitalizzazione-totale-norma-la-privacy/
  2. [email protected]: mailto:[email protected]
  3. www.advmanager.org: http://www.advmanager.org

Source URL: https://www.lagenziadiviaggimag.it/gdpr-cose-un-documento-informatico-quali-requisiti-trattamento-agenzia/