g-docweb-display Portlet

Parere all’AgID sullo schema di “Linee guida per la stesura del piano di cessazione del servizio di conservazione dei documenti digitali” - 16 aprile 2020 [9347287]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

VEDI ANCHE Newsletter del 21 maggio 2020

 

[doc. web n. 9347287]

Parere all’AgID sullo schema di “Linee guida per la stesura del piano di cessazione del servizio di conservazione dei documenti digitali” - 16 aprile 2020

Registro dei provvedimenti
n. 74  del 16 aprile 2020

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

Visto il Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), di seguito Regolamento;

Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali, così come modificato dal decreto legislativo 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”, di seguito Codice;

Visti gli artt. 14-bis e 71 del decreto legislativo 7 marzo 2005, n. 82, recante il “Codice dell’amministrazione digitale” (di seguito CAD) e la determinazione dell’Agenzia per l’Italia digitale (AgID) n. 160 del 2019, recante il “Regolamento per l’adozione di linee guida per l’attuazione del Codice dell’Amministrazione Digitale”, che disciplinano le procedure per l’adozione di linee guida contenenti le regole tecniche e di indirizzo, previa consultazione pubblica e sentiti l’amministrazione interessata e il Garante per la protezione dei dati personali, nonché l’acquisizione del parere della Conferenza unificata;

Vista la richiesta di parere dell’AgID sullo schema di “Linee guida per la stesura del piano di cessazione del servizio di conservazione dei documenti digitali”, che stabilisce le modalità per la stesura e la gestione del piano di cessazione del servizio di conservazione dei documenti digitali, i cui destinatari sono i soggetti accreditati per l’erogazione del servizio di conservazione dei documenti informatici, sia nel caso di cessazione volontaria che involontaria (in caso di ritiro dell’accreditamento);

Rilevato che il piano di cessazione è un documento previsto all’articolo 24 del Regolamento e-IDAS (UE) n. 910/2014, applicabile ai conservatori accreditati, e richiamato dal CAD all’articolo 29, comma 2, (“Qualificazione e accreditamento”);

Rilevato che lo schema delle Linee guida si compone di 4 capitoli e, al capitolo 5,  di un Allegato tecnico che contiene lo schema del “Piano di cessazione del servizio di conservazione” (Allegato A) che indica nel dettaglio la struttura che il predetto Piano di cessazione deve avere nonché i relativi contenuti, al fine di guidare il conservatore di documenti informatici nella stesura dello stesso per garantire “omogeneità di struttura e completezza delle informazioni necessarie per la corretta conduzione delle attività per la cessazione del servizio di conservazione”;

Rilevato, che i singoli conservatori accreditati dovranno poi autonomamente predisporre il Piano di cessazione, entro tre mesi dalla pubblicazione delle Linee guida, descrivendo nel dettaglio le modalità di gestione del processo di cessazione;

Ritenuto, in generale, opportuno integrare lo schema del Piano di cessazione evidenziando che in ogni fase è necessario adottare, ai sensi dell’art. 32 del Regolamento, misure tecniche e organizzative adeguate a garantire la protezione dei dati personali contenuti nei documenti oggetto di conservazione, o comunque trattati, individuando anche procedure per la gestione delle violazioni di dati personali, in conformità a quanto previsto dall’art. 33 e seguenti del Regolamento;

Considerato, in particolare, che, al fine di assicurare una corretta applicazione del Regolamento, occorre, inoltre, integrare lo schema del predetto Piano di cessazione con i seguenti elementi, volti ad assicurare specifiche garanzie a tutela dei dati personali trattati dal conservatore e sottoposti a migrazione ad altro soggetto accreditato a causa della cessazione:

- al paragrafo 4) “Terze parti coinvolte”, nel caso in cui ci si avvalga di tali soggetti per compiere operazioni che comportano il trattamento di dati personali, sia ribadita la necessità che tali soggetti siano individuati come Responsabili del trattamento, nel rispetto dei requisiti previsti dall’art. 28 del Regolamento;

- al paragrafo 5) “Analisi dei rischi”, venga evidenziato che deve essere compiuta anche una valutazione specifica relativa ai rischi connessi al trattamento dei dati personali trattati nell’ambito del servizio, anche sulla base delle attività di analisi dei c.d. pacchetti di archiviazione (previste nel testo al paragrafo 7.5), in termini di tipologia di dati conservati (es: particolari categorie di dati personali o dati relativi a condanne penali e reati, contenuti nelle diverse tipologie documentali conservate);

- al paragrafo 6) “Programmazione delle attività di cessazione”, venga previsto che nel processo di cessazione sia coinvolto anche il responsabile per la protezione dei dati;

-  al paragrafo 7.2) “Comunicazione al cliente del servizio”, venga fatto riferimento anche all’art. 28, par. 3, lett. g) del Regolamento, che impone, in capo al responsabile del trattamento (conservatore), precisi obblighi in materia di restituzione dei dati al titolare del trattamento (produttore) (cfr. anche d.P.C.M. 3 dicembre 2013, art. 6, comma 8);

- ai paragrafi 7.2) “Comunicazione al cliente del servizio” e 7.10) “Trasferimento e presa in carico da parte del soggetto subentrante”, sia precisato che il trasferimento degli archivi da parte del soggetto cessante potrà avvenire solo su espressa indicazione del produttore, previa designazione del soggetto subentrante quale responsabile del trattamento, in conformità all’art. 28 del Regolamento;

- al paragrafo 7.6) “Trasferimento degli archivi di conservazione”, sia prevista l’adozione di adeguate misure di sicurezza volte a garantire il rispetto dell’art. 32 del Regolamento, avuto riguardo alla riservatezza, integrità e disponibilità dei dati contenuti nei documenti conservati;

-  al paragrafo 8) “Cancellazione degli archivi di conservazione”, sia specificato che la cancellazione deve avvenire con modalità sicure e che “il congruo periodo di tempo”, nel corso del quale il conservatore cessante deve garantire l’accessibilità di documenti e dati, sia individuato precisamente nel Piano di cessazione;

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

TUTTO CIO’ PREMESSO IL GARANTE

ai sensi dell’art. 58, par. 3, lett. b), del Regolamento, esprime parere nei termini di cui in motivazione sullo schema di “Linee guida per la stesura del piano di cessazione del servizio di conservazione dei documenti digitali”, predisposto da AgID, ai sensi dell’art. 14-bis e 71 del decreto legislativo 7 marzo 2005, n. 82, Codice dell’amministrazione digitale.

Roma, 16 aprile 2020

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia