Poche settimane fa, esattamente il giorno 11/09/2020, l’AgID (Agenzia per l’Italia Digitale) ha reso note le “Linee guida sulla formazione, gestione e conservazione dei documenti informatici”, ovviamente sulla base della normativa europea in ambito di conservazione dei documenti.
Già, le normative europee, quelle regole a cui ogni stato membro deve attenersi, e tra le regole che l’unione europea ci impone troviamo anche il tanto temuto GDPR, o almeno lo era all’inizio.
Infatti molte aziende e professionisti all’inizio erano quasi nel panico per dover mettersi in regola con questa nuova regola sulla privacy dei dati, poi, come succede spesso in Italia, altrettante aziende hanno messo nel dimenticatoio la nuova legge e ancora oggi non sono ancora a norma.
Conservazione documentale e GDPR
Il GDPR è diventato esecutivo il 25 maggio 2018 con l’attuazione del Regolamento Europeo 679/2016, responsabilizzando di fatto tutti coloro hanno a che fare con dati sensibili.
Con questo nuovo regolamento non si fa altro che rendere proattive alcune azioni preventive volte alla protezione dei dati.
Nell’ambito della conservazione sostitutiva vi sono una mole di dati da gestire con protocolli di sicurezza, sia fisiche per quel che riguarda i locali che ospitano i server, sia informatiche, con crittografia dei dati, firewall e quant’altro possa garantire la sicurezza del dato.
Conservare Fatture elettroniche potrebbe non avere chissà quale impatto dal punto di vista della privacy, ma poniamo il caso di dati sensibili contenuti nelle cartelle cliniche?
Oppure dati sensibili relativi all’anagrafe pubblica nazionale? È evidente che la conservazione dei documenti non va più fatta alla leggera come accadeva anni fa, ora bisogna stare molto attenti alla difesa della privacy.
Anche la firma grafometrica presenta problemi relativi alla privacy ed è quindi legata al GDPR, in quanto con essa vengono salvati alcuni dati biometrici, e quindi identificativi, del firmatario.
Firma elettronica grafometrica e GDPR
La firma grafometrica fa parte delle firme elettroniche, e questa soluzione di firmare su un tablet sta prendendo sempre più piede in svariati ambiti, ad esempio nella firma di documenti bancari, ma non solo.
Infatti, con l’introduzione del GDPR moltissime aziende o realtà pubbliche hanno dovuto munirsi di nuova documentazione da far firmare agli utenti per la gestione della privacy, anche una semplice registrazione in campeggio è diventata un plico di carte da firmare.
Documenti firmati significa anche documenti da conservare, scansionare, salvare su supporti ottici, e la firma grafometrica può venire in aiuto proprio per la sua già nativa digitalizzazione del documento.
Questo tipo di firma elettronica funziona infatti con l’apposizione della firma su un dispositivo elettronico, solitamente un tablet, con un pennino apposito, e lo si fa in maniera naturale come se si stesse firmando un documento cartaceo con una normale penna.
All’atto della firma, però, vengono registrati alcuni dati biometrici per l’identificazione univoca del firmatario, come la velocità di scrittura, la pressione sul pennino, la posizione, tutti dati sensibili da trattare con cura.
A tal proposito, il GDPR specifica nell’ultimo paragrafo dell’articolo 9 che alcuni dati particolari possono essere trattati specificatamente da ogni singolo stato membro, ed il Garante per la protezione dei dati personali italiano proprio in tema di biometria ha rilasciato un provvedimento generale di tipo prescrittivo.
Questo provvedimento del 12 novembre 2014 esonera i titolari del trattamento dei dati biometrici raccolti attraverso la firma grafometrica, a patto che vengano rispettate alcune condizioni.
Ad esempio, il titolare dei dati, cioè chi li raccoglie e li conserva, non può salvare i dati biometrici all’interno dello stesso hardware usato per la firma (il tablet), ma devono confluire in un server a parte.
Inoltre, i dati devono essere crittografati ed avere un certificato di firma, quest’ultimo reso disponibile da un prestatore di servizi accreditato seocondo il regolamento eIDAS.
Conclusione
In conclusione possiamo affermare che la nuova spinta alla digitalizzazione delle imprese e alla dematerializzazione e conservazione dei documenti deve per forza di cosa passare attraverso le strette maglie delle normative per la sicurezza dei dati, soprattutto a causa delle conseguenze che potrebbero avere attacchi informatici con conseguente passaggio di dati sensibili in mani poco sicure.
Sottostare alle norme può quindi essere gravoso, ma rischiare un data breach potrebbe esserlo di più.