- Autore: Walter Della Mora
- Pubblicato il: 30 Set 2022
- Aggiornato il: 21 Ago 2023
Minimizzazione dei dati e organizzazione documenti
Il tempo dedicato a organizzare in modo efficiente un archivio documentale è sempre ben speso, soprattutto se a chiederlo è un normativa che fa della gestione dei dati il suo punto focale.
Il Regolamento Europeo per la Protezione dei Dati (GDPR), nell’articolo 5, ha introdotto il principio della minimizzazione dei dati. Il suo scopo è far sì che qualsiasi soggetto tratti dati personali si assicuri che siano “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono stati trattati“.
In questo articolo ci concentriamo sulle parole “limitati a quanto necessario” analizzando come questo principio si applica all’organizzazione dei documenti e alla gestione dell’archivio.
UN PROBLEMA COMUNE NELL'ORGANIZZAZIONE DEI DOCUMENTI
Nelle aziende capita spesso che lo stesso documento debba essere utilizzato per diverse finalità. A titolo di esempio possiamo prendere la fotocopia del documento di identità, una certificazione di idoneità o un esame clinico.
I sistemi di archiviazione documentale tradizionali ci hanno abituati a ragionare per comparti e a organizzare le informazioni in cartelle. Che si tratti di archivi cartacei o digitali, la struttura generalmente è gerarchica, con contenitori o cartelle annidate. Questo approccio, se il nome assegnato ai vari contenitori è pensato bene, è certamente funzionale. Facilita la ricerca dei documenti e consente di attribuire agli stessi un significato che si specializza sempre più man mano che ci si addentra nella struttura dei contenitori.
Facciamo un esempio: Pratiche di rimborso -> Anno 2022 -> Documenti istruttoria
Le difficoltà sorgono quando le stesse informazioni vengono raccolte in momenti diversi e conservate per finalità diverse. Generalmente, in questi casi, la rigidità dell’archivio tradizionale porta a una duplicazione delle informazioni con conseguente violazione del principio di minimizzazione dei dati.
Un esempio pratico
Riprendiamo l’esempio fatto nella sezione precedente. In questo scenario la cartella più annidata “Documenti istruttoria” contiene tutti i documenti raccolti. Supponiamo che all’interno ci sia anche la scheda cliente, compilata in fase di apertura della pratica e contenente i dati identificativi, di residenza e di contatto. Trattandosi di dati personali, ricadono negli obblighi previsti dalla normativa sulla privacy, pertanto possono essere conservati per il tempo necessario a raggiungere le finalità previste. Nell’esempio in questione ipotizziamo un periodo di 10 anni.
Supponiamo che a distanza di tempo lo stesso cliente apra un’altra pratica e che anche per questa siano necessarie le stesse informazioni personali. Possono accadere i seguenti due scenari:
- i nuovi dati raccolti sono diversi, di conseguenza quelli raccolti in precedenza sono inesatti;
- i nuovi dati raccolti sono uguali, di conseguenza nell’archivio ora esistono due copie identiche delle stesse informazioni.
Nel primo scenario viene violato il principio dell’esattezza dei dati espresso nell’art. 5 lett. d) del GDPR secondo il quale i dati devono essere aggiornati, pertanto, se possibile, è necessario rettificarli.
Nel secondo scenario viene violato il principio della minimizzazione dei dati in quanto la duplicazione delle stesse informazioni comporta un aumento del rischio per la persona.
Questo esempio è puramente indicativo. Ciascun titolare di trattamento è tenuto ad applicare questi ragionamenti alla propria realtà e valutare il rischio per il suo utente in base alle categorie di dati che sta trattando. In base al principio di responsabilizzazione (accountability) espresso nel GDPR, sarà tenuto a rispondere per le proprie scelte.
COSA COMPORTA UNA GESTIONE DEI DOCUMENTI INEFFICIENTE
Nelle aziende capita spesso che il medesimo documento venga conservato in diverse copie, sia cartacee che digitali, in luoghi diversi. Nei faldoni, negli hard disk dei PC, nel cloud, nell’archivio delle email e in altro ancora ritroviamo repliche dei dati raccolti in tempi diversi e per finalità diverse.
Questa ridondanza di documenti è un problema perché porta a diverse conseguenze negative:
- costi extra per il tempo speso dalle persone nel produrre documenti già esistenti;
- costi extra per il tempo speso nell’identificare fra due o più documenti quello più aggiornato;
- costi extra per la gestione degli spazi fisici e virtuali occupati da documenti non necessari;
- costi extra per la risoluzione degli errori causati dall’impiego di documenti non aggiornati;
- rischio di incorrere in sanzioni per mancata conformità ai principi espressi nella normativa sulla privacy.
In alcuni casi, per ragioni legate al flusso documentale o a obblighi di legge, la ridondanza dei documenti non può essere totalmente evitata. É comunque necessario ridurla all’essenziale. Con le procedure e gli strumenti giusti, si potrà ottenere a una gestione documentale efficiente e conforme al GDPR.
MINIMIZZAZIONE DEI DATI E MAIL
Le mail sono uno degli strumenti di comunicazione e condivisione più diffusi. Un tempo erano impiegate per qualsiasi tipo di invio. Negli ultimi anni però, visto l’intensificarsi dell’attenzione verso la privacy, in particolare per l’invio di informazioni personali, si sono rivelate essere uno strumento non appropriato.
Queste sono alcuni dei suoi limiti:
- le mail e gli allegati possono risiedere in spazi digitali di proprietà di aziende che non sono soggette agli obblighi previsti dal GDPR;
- alcuni servizi di mail sono gratuiti a patto di poter leggere e indicizzare il contenuto delle stesse, ciò a discapito della privacy degli utenti;
- spesso le mail contengono sia dati testuali scritti nel corpo che allegati. Le informazioni trasportate viaggiano assieme e sono inscindibili. Questo rende più difficile rimuovere dall’archivio delle mail le sole informazioni personali dell’utente al termine del periodo di conservazione;
- nella pratica comune le mail vengono accumulate, anche per anni, senza godere di un reale processo di supervisione e manutenzione dell’archivio.
MINIMIZZAZIONE DEI DATI E SERVIZI DI CLOUD STORAGE
I noti servizi di cloud storage disponibili, anche gratuitamente, riproducono le stesse funzionalità dei classici sistemi di archiviazione basati su cartelle. La tecnologia del cloud conferisce loro caratteristiche di accessibilità e sicurezza superiori ma, dal punto di vista della minimizzazione dei dati, i problemi descritti in precedenza permangono.
COSA FARE PER APPLICARE LA MINIMIZZAZIONE DEI DATI
Come già detto, in base al principio di responsabilizzazione, che permea l’intero assetto del GDPR, il Titolare del trattamento è chiamato a:
- ridurre il volume complessivo delle informazioni conservate e della loro ridondanza, rimuovendo le informazioni non più utili alla conduzione delle proprie attività;
- verificare periodicamente la correttezza e la veridicità dei dati raccolti e adottare tutte le misure idonee per cancellare o rettificare tempestivamente i dati inesatti, nel rispetto delle finalità dichiarate.
Per limitare quanto più possibile la probabilità di commettere errori, e dunque incorrere in sanzioni, è necessario che il Titolare al trattamento:
- se necessario, valuti un processo di digitalizzazione dell’archivio;
- scelga la tecnologia più adatta alle esigenze della propria struttura;
- si doti di strumenti idonei, anche appoggiandosi a servizi per l’archiviazione di documenti digitali;
- provveda a un’adeguata formazione del personale.
COME SCEGLIERE UN SISTEMA DI GESTIONE DOCUMENTALE
Per facilitare la gestione documentale e il rispetto del principio di minimizzazione è necessario dotarsi di uno strumento tramite il quale i documenti possano essere:
- aggregati per finalità d’uso e in modo gerarchico;
- associati a più finalità d’uso senza che debbano essere duplicati;
- rimossi dall’archivio facilmente in funzione delle loro finalità d’uso e dei tempi di conservazione così come dichiarato nell’informativa privacy;
- revisionati in modo da poter recuperare facilmente le versioni prodotte nel tempo;
- accessibili a chi è autorizzato senza che questo necessiti della creazione di nuove copie;
- condivisi, anche con i clienti, senza la necessità di creare duplicati;
- conservati all’interno di un perimetro di sicurezza conforme agli standard attualmente richiesti.
LA NOSTRA PROPOSTA PER LA MINIMIZZAZIONE DEI DATI
PersonalDOX è un servizio in cloud per la gestione documentale e conservazione dei documenti digitali.
Lo abbiamo progettato secondo il principio della privacy by design ricercando da subito, oltre alla semplicità d’uso, anche la conformità al GDPR. L’analisi degli scenari che abbiamo descritto in questo articolo ci ha portato a creare strumenti organizzativi che permettono di ridurre significativamente i problemi e i costi legati ad una gestione poco efficiente del archivio.
Se vuoi saperne di più visita la pagina di PersonalDOX
Approfondimenti
Condividi:
Articoli collegati
L’informativa privacy
Il principale strumento per informare l’interessato al trattamento
La profilazione
Un puzzle fatto con i pezzi della nostra identità
Digitalizzazione e dematerializzazione degli archivi
La digitalizzazione dei documenti è un percorso che tutte le aziende dovranno intraprendere
Gamification e privacy
Il divertimento in azienda è positivo, attenzione però alla privacy
L’errore umano nella gestione della privacy
La causa principale delle violazioni dei dati è da imputare all’errore umano