Data protection

Policy in materia di Data Retention.

Visto che nel Regolamento UE n. 679/2016 (GDPR) sulla protezione dei dati vi è l’esplicita previsione del divieto di conservazione degli stessi per un tempo superiore a quello necessario al perseguimento dello scopo del trattamento. All’art. 5.1, lett. e) del GDPR è previsto che i dati personali devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”. Tale regola obbliga il Titolare del trattamento a provvedere alla cancellazione dei dati raccolti una volta perseguito lo scopo, non potendo gli stessi essere conservati per ulteriori periodi; a meno che i dati siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, previa adozione di adeguate misure tecniche e organizzative a tutela dei diritti e delle libertà dell’interessato (cd principio di limitazione della conservazione). L’inosservanza di tale principio (limitazione del trattamento) comporta l’irrogazione al Titolare di una sanzione amministrativa pecuniaria che può arrivare fino a 20 milioni di euro. (art. 83.5, lett. a GDPR[1]).

Premesso che ogni azione e flusso informativo generati a fronte dei trattamenti dovrebbero essere gestiti da uno strumento unico di gestione (Business Process Manager) che sia in grado di:

  • eseguire automaticamente laddove previsto determinate azioni (compiti di processo relativi a servizi IT/device medici);
  • assegnare compiti che richiedono l’intervento umano (verifiche, autorizzazioni, ecc.) ad uno specifico attore e tracciare i tempi di esecuzione per attuare eventuali affinamenti;
  • gestire in modo strutturato, affidabile e tracciabile tutte le comunicazioni con i responsabili ed i sub responsabili del trattamento, oltre – eventualmente – il Garante per la Protezione dei dati.

La gestione dei dati, in tutte le loro fasi del ciclo di vita, rappresenta per il titolare del trattamento un aspetto cruciale sopra tutto se è a capo di un’azienda cd “data driven”.

La conservazione dei dati, sia di tipo cartaceo che digitale, necessita di essere implementata in modo che questi siano protetti da accessi non autorizzati.

La presenza di una procedura per la gestione della conservazione ed eventuale distruzione della documentazione è una misura organizzativa nonché di accountability importante per garantire il presidio di questo aspetto.

Per i sopra esposti motivi a livello internazionale sono stati adottati i seguenti standard:

  • ISO/IEC 27040:2015 “Information technology – Security techniques-Storage security”, che contiene le linee guida tecniche dedicate alle migliori pratiche per un’archiviazione dei dati sicura. La ISO prende in esame anche la sicurezza di varie tipologie di dispositivi e supporti, applicazioni e servizi, sia durante il loro ciclo di vita che al termine del loro utilizzo.[2]
  • ISO/IEC 27018:2019 “Information technology – Security techniques – Code of practice for protection of personally identifiable information (PII) in public cloud acting as PII processor”, che stabilisce controlli e linee guida per l’implementazione di misure specifiche per la protezione dei dati personali identificativi per gli ambienti cloud.[3]
  • ISO/TR 19815:2018: “Information and documentation – magement of the environmental conditions for archive and library collections”, che contiene regole per la corretta tenuta degli archivi, quali: umidità, temperatura, agenti atmosferici, ecc.[4]

Considerato che tra i compiti specifici del D.P.O. in materia di conservazione e cancellazione dei dati personali si annoverano i seguenti:

  • concorrere alla definizione di regole di eleggibilità (algoritmo che identifica quali dati devono essere anonimizzati/pseudonimizzati/rimossi) per la pseudonimizzazione, anonimizzazione e cancellazione sui sistemi;
  • verificare il corretto funzionamento delle attività di pseudonimizzazione, anonimizzazione e cancellazione.

Si suggerisce la conduzione di uno specifico audit che avrà il seguente scopo:

  1. L’applicazione di una politica aziendale di data retention (con regole che definiscono la conservazione e la cancellazione automatizzata o manuale dei dati personali).
  2. La corrispondenza di quanto riportato nei modelli di informativa in merito ai tempi di conservazione e le norme di legge o le policy aziendali.
  3. L’adozione di idonee misure di distruzione o di anonimizzazione di qualsiasi copia, cartacea o digitale, dei dati trattati.
  4. L’applicazione del principio di accountability atto a garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

Accertare, in relazione alla redazione di un “Piano di data retention”:

  1. La conformità alla normativa in materia di protezione dei dati personali, nell’ambito delle operazioni che il titolare pone in essere.
  2. Il grado di conformità alle policy aziendali di data retention.
  3. La capacità del titolare di dimostrare in qualunque momento agli interessati, ai soggetti pubblici e privati che ne abbiano diritto, alle Autorità di controllo (i.e., i garanti nazionali per il trattamento dei dati personali), che i trattamenti posti in essere sono conformi alle disposizioni normative e alle necessarie misure di sicurezza.

Obiettivo dell’audit:

  • Conoscere lo stato di redazione/attuazione di un “Piano di data retention”.
  • Esaminare le Procedure in essere
  • Proporre azioni correttive

Ai fini della corretta amministrazione dei record di gestione e organizzazione, si suggerisce di:

  1. Approvare e pubblicare un’appropriata politica di gestione dei documenti.
  2. Identificare i rischi di gestione dei record come parte del processo di gestione del rischio informatico
  3. Inserire la gestione dei documenti in un programma di formazione
  4. Effettuare controlli periodici sulla sicurezza dei documenti.
  5. Monitorare la conformità alle procedure di gestione dei documenti.
  6. Stabilire degli standard minimi per la creazione di record cartacei o elettronici.
  7. Identificare i sistemi di registrazione manuali ed elettronici, mantenendo un registro centralizzato di tali sistemi, in maniera aggiornata.
  8. Introdurre sistemi per garantire che i dati personali raccolti siano accurati, adeguati, pertinenti e non eccessivi.
  9. Eseguire revisioni regolari per rimuovere qualsiasi dato personale o registrazione che sia obsoleto o non più rilevante.
  10. Assicurare che i modelli di informativa riportino i tempi di conservazione riferiti specificatamente alla documentazione che risulta essere il prodotto (output) dei trattamenti stessi.

Ai fini della corretta tracciatura e archiviazione fuori sede, si suggerisce di:

  1. Disporre di meccanismo di tracciamento per registrare il movimento dei documenti manuali e garantire la loro sicurezza tra le Unità Operative e le aree di conservazione, anche nei casi in cui i documenti vengano portati fuori sede.
  2. Adottare misure adeguate per trasferire i documenti elettronici fuori sede, proteggendo i dati personali da perdite o furti.

Relativamente all’accesso ai registri, si suggerisce di:

  1. Adottare politiche di limitazione degli accessi alle aree di archiviazione dei documenti per prevenire accessi non autorizzati, danni, furti o perdite.
  2. Implementare un accesso basato sui ruoli.
  3. Implementare un processo per assegnare e gestire gli account utente alle persone autorizzate e per rimuoverli quando non sono più appropriati.
  4. Disporre di piani di continuità aziendale in caso di disastro, che includa anche l’identificazione dei record che sono critici per il funzionamento continuo o la ricostituzione dell’Ente/Azienda.
  5. Eseguire regolarmente il backup dei dati memorizzati elettronicamente per aiutare a ripristinare le informazioni, qualora necessario.
  6. Disporre di un programma di conservazione e di smaltimento che indica in dettaglio per quanto tempo vengono conservati i dati manuali ed elettronici.
  7. Adottare un processo di smaltimento dei documenti contenenti dati appartenenti a categorie particolari, al fine di garantire che i documenti siano distrutti secondo uno standard appropriato.

[1] Articolo 83 Condizioni generali per infliggere sanzioni amministrative pecuniarie (C148, C150-C152)

(omissis)

5. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;

[2] La norma ISO/IEC 27040:2015 fornisce una guida tecnica dettagliata su come le organizzazioni possono definire un livello adeguato di mitigazione del rischio impiegando un approccio comprovato e coerente alla pianificazione, progettazione, documentazione e implementazione della sicurezza dell’archiviazione dei dati. La sicurezza dell’archiviazione si applica alla protezione (sicurezza) delle informazioni nel luogo in cui sono archiviate e alla sicurezza delle informazioni trasferite attraverso i collegamenti di comunicazione associati all’archiviazione. La sicurezza dell’archiviazione comprende la sicurezza dei dispositivi e dei supporti, la sicurezza delle attività di gestione relative ai dispositivi e ai supporti, la sicurezza delle applicazioni e dei servizi e la sicurezza relativa agli utenti finali durante la vita dei dispositivi e dei supporti e dopo la fine dell’uso. link: ISO/IEC 27040:2015 

[3] Questo documento stabilisce obiettivi di controllo, controlli e linee guida comunemente accettati per l’implementazione di misure volte a proteggere le informazioni di identificazione personale (PII) in linea con i principi sulla privacy della norma ISO/IEC 29100 per l’ambiente di cloud computing pubblico.In particolare, questo documento specifica le linee guida basate sulla norma ISO/IEC 27002, prendendo in considerazione i requisiti normativi per la protezione delle PII che possono essere applicabili nel contesto degli ambienti di rischio per la sicurezza delle informazioni di un fornitore di servizi cloud pubblici. Il presente documento è applicabile a organizzazioni di tutti i tipi e dimensioni, comprese aziende pubbliche e private, enti governativi e organizzazioni no-profit, che forniscono servizi di elaborazione delle informazioni come processori PII tramite cloud computing sotto contratto con altre organizzazioni. Le linee guida contenute in questo documento possono essere rilevanti anche per le organizzazioni che agiscono come titolari del trattamento PII. Tuttavia, i titolari del trattamento delle PII possono essere soggetti a leggi, regolamenti e obblighi aggiuntivi in ​​materia di protezione delle PII, che non si applicano ai responsabili del trattamento delle PII. Il presente documento non è destinato a coprire tali obblighi aggiuntivi. Link: ISO/IEC 27018:2019

[4] Questo documento fornisce informazioni sulle recenti discussioni e sui cambiamenti nelle raccomandazioni e nelle linee guida sulla gestione ambientale nel campo del patrimonio culturale. Sono incluse la ricerca conservativa sulle metodologie preventive e il controllo passivo forniti da specifici metodi di costruzione e ristrutturazione, gli sviluppi nella tecnologia per il controllo dell’ambiente e le questioni relative all’energia e al cambiamento climatico. Questo documento è destinato ad archivi, biblioteche e altre istituzioni con grandi volumi di collezioni basate su carta. Archivi e biblioteche hanno anche collezioni che includono pellicole, supporti magnetici, pelle e altri materiali organici, inorganici o compositi. Queste istituzioni hanno la sfida unica di estendere la durata di vita di questi materiali per l’accesso e l’uso nel presente e per le generazioni future. L’ambiente gioca un ruolo chiave nel prolungare la durata di vita di tutti questi materiali Il presente documento è destinato all’uso nella pianificazione della conservazione e nella gestione ambientale continua delle condizioni di conservazione permanente degli archivi e delle collezioni delle biblioteche e si applica a tutte le collezioni conservate in modo permanente per un’istituzione. Link: https://www.iso.org/standard/66264.html

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

Gestione dei lavoratori
Segnalazione di non conformità

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

amministrazione-trasparente
Gli obblighi di pubblicazione dei Contratti pubblici nella Sezione Amministrazione Trasparente
2 Maggio 2024
sicurezzainformatica
La redazione del Piano di risposta agli incidenti di sicurezza informatica.
10 Dicembre 2024
dispositivo medico
La rete della dispositiva vigilanza e la compilazione della segnalazione di incidente da parte dell’operatore sanitario
27 Maggio 2024

Start typing and press Enter to search