Documenti cartacei, come conservarli e per quanto tempo: le regole dopo il Gdpr
Per la compliance al Regolamento UE Gdpr è importante prestare attenzione anche alla conservazione dei documenti cartacei;; in particolare quelli che contengono dati particolari. Ecco il modo corretto di farlo.
In ottica di trattamento dei dati personali, dopo il Gdpr, un’area che si tende a trascurare è quella relativa alla gestione dei documenti cartacei, il cui flusso e gestione devono essere verificati, analizzati, migliorati, fino ad un’eventuale trasformazione verso la digitalizzazione.
Per alcuni settori, però, questo passaggio non può essere così immediato: è importante considerare la parte cartacea aziendale e archiviazione della stessa sia nella fase di adeguamento alla normativa che nella corretta gestione dei flussi dei dati.
Pensiamo agli studi professionali (commercialisti, consulenti del lavoro, avvocati ecc.) dove la mole di documenti è enorme. Valutare quando un dato è strettamente necessario, può non essere facile e, in molti casi, ci viene in soccorso la normativa con indicazioni relative agli obblighi di legge. Per questo è fondamentale rispettare i seguenti aspetti:
- conservazione e gestione dei documenti cartacei;
- periodo di conservazione della documentazione cartacea;
- passaggio dal cartaceo al digitale.
Modalità di conservazione dei documenti cartacei
Innanzitutto, bisogna porre l’attenzione sulla conservazione dei documenti che contengono dati particolari. Questo riguarda sicuramente tutti i titolari al trattamento che nelle organizzazioni hanno dipendenti e collaboratori: tali documenti vanno tenuti separati dalle altre categorie di documenti (fatture, contratti ecc.) e archiviati con chiusure di sicurezza, il cui accesso è riservato solo alle persone responsabili al trattamento di tali dati. Il rischio della perdita di riservatezza con un impatto elevato nei confronti dell’interessato, in questo caso il dipendente, è sempre dietro all’angolo se non si adottano le dovute accortezze.
Un occhio di riguardo lo devono avere anche gli studi professionali come commercialisti e consulenti del lavoro che trattano dati non solo riguardo alla categoria di quelli particolari, la cui divulgazione, alterazione e perdita di disponibilità possono arrecare un danno all’interessato al trattamento: pensiamo alle informazioni contenute all’interno delle dichiarazioni dei redditi, alle quali vengono allegate giustificativi di spese, scontrini e ricevute in ambito medico sanitario. È importante che venga rivista l’organizzazione e gestione di tali dati, prevedendo l’utilizzo di archivi dotati di chiusura e locali con accesso riservato.
Comprensibile è trovarsi in una situazione dove, in un primo periodo (anche un paio di anni), tale documentazione non può essere archiviata senza che la gestione del trasferimento incida negativamente e pesantemente nella gestione delle pratiche e dichiarazione da parte dei professionisti e loro collaboratori.
È importante, inoltre, adottare misure di pseudonimizzazione come l’utilizzo di numerazioni che consentono di non vedere il nome del cliente sulle cartelline di archivio o la dotazione di sistemi di archiviazione a scomparsa. Questa attenzione va posta sicuramente nelle aree di accesso a persone esterne alle strutture del titolare del trattamento (intese sia come persone interne che non hanno l’incarico di trattare determinati dati, sia persone esterne all’organizzazione, come i clienti, addette alle pulizie, consulenti esterni non incaricati).
Periodo di conservazione dei documenti cartacei
Uno dei problemi maggiori che vengono riscontrati, in fase di analisi della gestione dei dati, è la mancata disponibilità di spazi dove poter conservare la documentazione, per periodi che sono imposti da obblighi di legge. Ecco alcune modalità di gestione che possono aiutare nella corretta gestione dei documenti:
- dotarsi di magazzini e garage dove conservare tali documenti fino al periodo richiesto;
- restituire la documentazione al cliente, o interessato al trattamento, dopo il termine richiesto dalla legge.
A tal proposito sorgono questi due problemi:
- in alcune aree urbane e città l’affitto di un magazzino e garage ha dei costi elevati, anche se si condivide la spesa con altri professionisti;
- l’impossibilità di riconsegnare i documenti all’interessato al trattamento perché, per esempio, nel corso degli anni ha cambiato residenza, è deceduto e non si hanno i riferimenti degli eredi.
Una domanda tra le più gettonate da parte delle aziende è: qual è il termine di conservazione dei documenti che trattano dati personali? La preoccupazione è che possano essere richieste informazioni e verifiche da parte delle autorità, anche successivamente al termine di conservazione previsto per legge (la cui sola presentazione può evitare errori su sanzioni e risarcimenti).
Sicuramente occorre impostare un sistema di gestione di tali documenti, stabilendo responsabilità, procedure, modalità di trasferimento e tempistiche sia di conservazione che distruzione dei documenti che contengono dati non più necessari.
Passaggio dal cartaceo al digitale
Infine, l’analisi e il lavoro di adeguamento da parte delle aziende alla normativa GDPR può essere l’occasione per iniziare un percorso che vada in direzione della digitalizzazione di processi e documenti per ridurre l’utilizzo della carta a favore di sistemi gestionali e archiviazione documentale. Questi sistemi, con la chiara definizione di procedure, responsabilità, competenze e ruoli, agevolerebbe la gestione e il trattamento dei dati personali, riducendo il rischio di minacce in termini di perdita di riservatezza, integrità e disponibilità.
Una migliore gestione della documentazione cartacea e digitalizzazione non ha un impatto positivo solo sul GDPR:
- si andrebbero a ridurre tutte quelle operazioni di caricamento dei dati, dette anche “data entry”, e caricamento ridondante dei dati che, oltre ad essere a basso valore aggiunto, sono le principali cause di inefficienze in termine di gestione del tempo;
- le persone si andrebbero a concentrare sulle attività ad alto valore aggiunto portandolo internamente all’organizzazione aziendale ed esternamente verso i clienti, migliorando i tempi di risposta e il grado di soddisfazione dei prodotti e servizi.
Fonte: https://www.cybersecurity360.it/legal/privacy-dati-personali/documenti-cartacei-come-conservarli-e-per-quanto-tempo-le-regole-dopo-il-gdpr/
Commenti recenti