PERCHÈ, QUANDO E COME DISTRUGGERE I DATI PERSONALI SU SUPPORTO CARTACEO

cartaceoIl decreto legislativo 196/2003 imponeva che i dati personali, raccolti dal titolare, non venissero conservati oltre il tempo necessario a soddisfare le finalità della raccolta. Questa formulazione però era alquanto ambigua e non dava indicazioni in merito al comportamento da tenere, al termine della vita utile del dato personale. 

Il nuovo regolamento europeo invece è assai più puntiglioso e non solo impone una serie di obblighi, da inserire nella informativa all’interessato (in particolare l’articolo 5, comma 1, lettera e), ma impone anche che, in fase di elaborazione della valutazione di protezione fin dalla progettazione del trattamento, articolo 25 del regolamento, il tema venga specificamente presi considerazione. Inoltre, queste considerazioni dovrebbero anche essere riportate nel registro del trattamento, in modo da offrire un panorama completo delle modalità con cui il titolare e responsabile affrontano e gestiscono i loro obblighi in materia di protezione dei dati (art. 30). 

Analizziamo adesso, passo per passo, i compiti del titolare del responsabile.

Come accennato, nell’offrire l’informativa all’interessato deve essere esplicitamente indicato il termine ultimo di conservazione dei dati. Questo termine utile può essere stabilito dal titolare, in funzione delle finalità per cui i dati vennero raccolti, oppure può essere imposto da leggi e regolamenti. È questo il caso specifico di documenti di natura amministrativa, che devono essere conservati per 10 anni. 

Una volta individuato quindi il termine ultimo di conservazione dei dati, gli stessi debbono essere obbligatoriamente cancellati o distrutti. L’espressione cancellati fa più comunemente riferimento a dati su supporto informatico, ottico, magnetico altro, mentre l’espressione distrutti fa riferimento a supporti cartacei.

All’articolo 25, il regolamento impone a tutti i titolari e responsabili, per tutti i trattamenti, di sviluppare un piano di protezione fin dalla progettazione del trattamento dei dati personali.

Un’area specifica di questa progettazione deve evidentemente fare riferimento alle modalità con cui, quando i dati hanno raggiunto il limite della vita utile, essi devono essere distrutti. Il titolare o responsabile che omettesse di inserire queste disposizioni, nel piano di sicurezza, previsto dall’articolo 25, commetterebbe non solo una ingenuità, ma soprattutto una violazione agli articoli del regolamento, debitamente e profumatamente sanzionabile. 

Assai meno impegnativo risulta il compito di distruggere dati su supporto cartaceo, rispetto a dati su altri supporti. Nel secondo caso, infatti, questi dati potrebbero essere presenti su numerosi supporti, sparpagliati in varie parti dell’ufficio e perfino in varie parti del mondo, se tali dati sono stati salvati in un cloud. 

I dati su supporto cartaceo, per contro, risultano più facilmente localizzabili, anche perché raramente se ne fanno molte copie. In genere questi dati sono conservati in un archivio, ad accesso limitato, e quindi sono facilmente recuperabili, quando giungerà l’ora della distruzione.

A questo punto, vediamo come si possono distruggere i dati personali su supporto cartaceo, nel pieno rispetto di leggi e regolamenti vigenti.

RicordIamo ai lettori che esiste la norma EN15713: 2009 – secure destruction of confidential material – Code of Practice, che specificamente fa riferimento alle modalità con cui è possibile distruggere vari tipi di supporti, soprattutto cartacei.

La norma prevede ben otto livelli di distruzione, passando da strisce, larghi alcuni millimetri, fino a frammenti di pochi millimetri quadrati di superficie.

È evidentemente compito del titolare del responsabile decidere a quale dei livelli della norma deve essere portato il livello di distruzione. Come regola generale, si ritiene che il livello 2 o 3 possa andare più che bene per documenti non particolarmente critici, mentre raccomando di raggiungere almeno un livello 6 per documenti particolarmente critici.

Il livello 8 è riservato per solito solo a documenti classificati a livello di segreto od anche segretissimo. 

Oggi sono disponibili dei distruggitori che possono realizzare questi livelli di distruzione, ma sono anche disponibili dei servizi, forniti da aziende terze, dotate di un automezzo opportunamente equipaggiato. 

Questo automezzo si reca presso il luogo dove sono conservati i supporti cartacei e provvede, sotto gli occhi del titolare o del responsabile o di un loro delegato, alla distruzione dei documenti, rilasciando apposito verbale.

Al proposito, si desidera attirare l’attenzione dei lettori sulla importanza di adottare un procedimento di distruzione che sia conforme ad una norma italiana od europea.

Ricordiamo che un bene o un servizio, realizzato in conformità a una norma italiana od europea, viene, secondo le prescrizioni del nostro codice civile, realizzato a regola d’arte.

Ciò significa che nessun organo terzo, sia esso organo investigativo o giudiziario, potrà avere nulla da eccepire circa il fatto che la distruzione sia avvenuta con modalità soddisfacenti. 

Ancora oggi, non tutti i titolari e responsabili si rendano conto dell’importanza del riferimento ad una norma, che per la sua stessa natura toglie ogni responsabilità residua al titolare e al responsabile, se, come in questo caso, l’operazione di distruzione è stata realizzata in conformità alla regola d’arte. 

Tutt’al più, potrebbe restare un margine di contestazione afferente al fatto che sia stato scelto un livello di frammentazione, piuttosto che un altro, ma è evidente che qui entriamo in una fase dibattimentale, che potrebbe prolungarsi per anni. 

Se invece la distruzione non è stata eseguita od è stata eseguita non in conformità alla regola d’arte, lo spazio per contestazioni e l’erogazione di sanzioni certamente si dilata oltremodo.

Fonte: Puntosicuro.it