Un esempio pratico per trattare i dati personali in modo trasparente

Di seguito si vedrà come gestire i documenti informatici archiviati nel cloud con la massima trasparenza nei confronti del soggetto interessato al trattamento.

Creare delle cartelle

All’interno del proprio spazio web (c.d. cloud) verranno create più cartelle (nell’esempio si tratta di Google Drive, ma molti altri gestori forniscono servizi con caratteristiche analoghe).

 

 

Con un doppio click sulla singola cartella (nell’esempio sotto riportato, la cartella “Tizio”) sarà possibile :

  • visualizzare e gestire i documenti ivi contenuti;
  • verificare e gestire la condivisione della cartella stessa.

Condividere le cartelle

Una volta entrati nella cartella, apparirà la seguente schermata:

 

 

Poi, cliccando sul pulsante indicato nella foto che precede, apparirà la seguente schermata:

 

 

Attraverso questo form sarà possibile (tra l’altro):

  • condividere con altre persone il contenuto della cartella;
  • attribuire ad ogni persona le credenziali opportune, a seconda del caso e del ruolo che la persona assumerà nel trattamento dei dati personali.

Quindi, ogni cartella potrà essere condivisa:

  1. con l’interessato al trattamento dei dati personali;
  2. con uno o più collaboratori;
  3. con altri soggetti.

Precisare le finalità del trattamento dei dati personali

Prima di iniziare ad utilizzare la cartella creata, si suggerisce, in conformità a quanto previsto dal Regolamento UE 2016/679 (GDPR), di precisare le finalità del trattamento dei dati personali.

Il software messo a disposizione dal cloud utilizzato nell’esempio permette di specificare dette finalità in un apposito spazio, ben visibile da tutte le persone che avranno l’accesso alla cartella.

 

 

Registro del trattamento dei dati personali

Bisogna anche precisare che, dal momento in cui la cartella viene creata, il software messo a disposizione dal cloud utilizzato nell’esempio, terrà traccia, cronologicamente, di tutte le modifiche e di chi le ha apportate.

Attraverso la scheda “Dettagli” riportata più sotto sarà possibile controllare sempre i dettagli della cartella:

  • chi è il proprietario;
  • con chi viene condivisa;
  • ecc.

 

 

Invece, attraverso la scheda “Attività” riportata più sotto sarà possibile controllare

  • ogni operazione effettuata all’interno della cartella (aggiunta e cancellazione files, modifiche, ecc.);
  • chi ha compiuto dette operazioni;
  • quando le ha compiute.

 

GDPR Compliance

Con il sistema illustrato sarà possibile trattare i dati personali in conformità a quanto prescritto dal GDPR, in quanto:

  • allo stato dell’arte, il cloud costituisce uno strumento sufficientemente sicuro (vedi “GDPR: come archiviare i documenti informatici in modo sicuro?“);
  • le finalità del trattamento dei dati personali vengono palesate prima ancora di iniziare il trattamento stesso;
  • l’interessato al trattamento dei dati personali, munito delle credenziali di accesso alla cartella contenente i dati al medesimo riferibili, potrà costantemente monitorarli e controllare se detti dati sono coerenti alle finalità del trattamento;
  • il software messo da disposizione dal cloud, tenendo traccia cronologica di ogni modifica apportata, potrà essere utile ai fini della tenuta del registro dei trattamenti.

Ovviamente, il sistema illustrato non garantisce la completa conformità del trattamento se non si usano anche altre accortezze, quali, ad esempio:

  • l’utilizzo di passwords “solide”;
  • la corretta scelta di applicazioni sicure per la gestione del cloud;
  • l’aggiornamento delle stesse applicazioni;
  • ecc.

 

GDPR: come archiviare i documenti informatici in modo sicuro?

L’art. 32, Regolamento UE 2016/679 (GDPR), dispone quanto segue:

Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […]”.

Considerato che, in concreto, non sono definite tali misure di sicurezza, è necessario domandarsi quale sia il modo più sicuro per archiviare i documenti informatici.

Possesso del supporto e possesso dei files

Spesso si pensa che avere il possesso del supporto materiale sul quale sono salvati i documenti informatici sia la soluzione più sicura.

Ciò potrebbe essere vero se il supporto materiale non fosse connesso (mai) al web, direttamente (un pc, uno smartphone, ecc.) o indirettamente (una c.d. penna usb, un hard-disk esterno, ecc.).

Tuttavia, oggi è pressoché impensabile usare un dispositivo informatico soltanto offline.

Quindi, la sicurezza dei dati archiviati sul dispositivo informatico è affidata esclusivamente alla “tenuta” del software ivi installato.

Laddove tale software presentasse delle vulnerabilità, o semplicemente non fosse aggiornato, un malintenzionato potrebbe facilmente appropriarsi dei dati presenti sul dispositivo informatico.

Il proprietario del dispositivo informatico, in tal caso, pur rimanendo in possesso del dispositivo stesso, verrebbe spogliato del contenuto senza neppure accorgersi dell’intrusione da parte di terzi.

In casa o in banca?

Le considerazioni svolte più sopra devono indurre a valutare soluzioni alternative, tenendo conto che custodire dei documenti informatici è come custodire denaro o preziosi: è meglio nasconderli in casa sotto il materasso o depositarli in banca in una cassetta di sicurezza?

Fuor di metafora, la soluzione alternativa attualmente più sicura per archiviare documenti informatici sembrerebbe quella di affidarne la custodia a chi è esperto di sicurezza informatica e detiene i mezzi per contrastare efficacemente gli accessi non autorizzati.

La soluzione di cui si parla è quella che comunemente viene definita come cloud.

Il “cloud”

Si tratta di uno “spazio” localizzato su un computer (configurato come server) messo a disposizione da imprese specializzate.

Su questo spazio è possibile trasferire e archiviare i propri documenti informatici, accedendo telematicamente tramite delle credenziali.

Considerato che i dati sono trasferiti e archiviati in modo sicuro, perché criptati (naturalmente ci si riferisce ai servizi resi dai “big” del settore), il proprietario dei documenti dovrà principalmente preoccuparsi

  1. di utilizzare delle password “solide”;
  2. di modificare le password con una certa frequenza;
  3. di scegliere con prudenza le applicazioni che avranno accesso al cloud;
  4. di curarsi di aggiornare tempestivamente dette applicazioni.

Al resto, ci penserà il gestore del cloud.

Valore del documento informatico sottoscritto con firma digitale

La firma digitale consente di sottoscrivere un contratto (e non solo) a soggetti che si trovano in luoghi diversi, pressoché simultaneamente.

Il documento informatico sottoscritto con firma digitale, per espressa previsione di legge, ha il seguente valore:

  1. soddisfa il requisito della forma scritta;
  2. ha una efficacia probatoria privilegiata;
  3. ha data certa.

Definizione di documento informatico

Il documento informatico consiste in un “documento elettronico che contiene la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti” (art. 1, comma 1, lettera p, DLgs 82/2005).

Definizione di firma digitale

La firma digitale è “un particolare tipo di firma qualificata basata su un su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare ((di firma elettronica)) tramite la chiave privata ((e a un soggetto terzo)) tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici” (art. 1, comma 1, lettera s, DLgs 82/2005).

Il documento informatico e la forma scritta

L’art. 20, comma 1 bis, DLgs 82/2005, stabilisce che “Il documento informatico soddisfa il requisito della forma scritta […] quando vi è apposta una firma digitale […]”.

La forma scritta non è sempre richiesta dalla legge ai fini della validità del contratto.

Tuttavia, la forma scritta è pressoché indispensabile ai fini probatori.

Infatti,

  • a norma dell’art. 2721 c.c., “La prova per testimoni dei contratti non è ammessa quando il valore dell’oggetto eccede le lire cinquemila
  • a norma dell’art. 2726 c.c. “Le norme stabilite per la prova testimoniale dei contratti si applicano anche al pagamento e alla remissione del debito”.

Quindi, in mancanza di forma scritta è veramente difficile fornire la prova di un contratto, di una quietanza di pagamento o di altra dichiarazione di parte.

L’efficacia probatoria del documento informatico

L’art. 20, comma 1 bis, DLgs 82/2005, stabilisce anche che “Il documento informatico […] ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi è apposta una firma digitale […]”.

A norma del cit. art. 2702 c.c. “La scrittura privata fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta”.

Tale ultima norma evidentemente subordina l’efficacia probatoria della scrittura privata alle seguenti condizioni:

  • il riconoscimento della sottoscrizione dalla persona contro la quale è prodotta;
  • l’esistenza di una norma di legge che considera la scrittura privata come riconosciuta.

Nel caso del documento informatico firmato digitalmente la legge sembra adottare una soluzione di compromesso tra le due condizioni.

A riguardo, l’art. 20, comma 1 ter, DLgs 82/2005, stabilisce che “L’utilizzo del dispositivo di firma […] digitale si presume riconducibile al titolare di firma elettronica, salvo che questi dia prova contraria”.

In altri termini, la legge non arriva a considerare la scrittura come riconosciuta, ma inverte l’onere della prova accollandolo alla persona contro la quale il documento è prodotto.

Il documento informatico e la data certa

A norma dell’art. 20, comma 1 bis, DLgs 82/2005, “La data e l’ora di formazione del documento informatico sono opponibili ai terzi se apposte in conformità alle Linee guida.))”.

Si tratta di una significativa agevolazione pratica rispetto a quanto già prescritto dall’art. 2704 c.c., secondo il quale:

  1. La data della scrittura privata della quale non è autenticata la sottoscrizione non è certa e computabile riguardo ai terzi, se non dal giorno in cui la scrittura è stata registrata o dal giorno della morte o della sopravvenuta impossibilità fisica di colui o di uno di coloro che l’hanno sottoscritta o dal giorno in cui il contenuto della scrittura è riprodotto in atti pubblici o, infine, dal giorno in cui si verifica un altro fatto che stabilisca in modo egualmente certo l’anteriorità della formazione del documento.
  2. La data della scrittura privata che contiene dichiarazioni unilaterali non destinate a persona determinata può essere accertata con qualsiasi mezzo di prova.
  3. Per l’accertamento della data nelle quietanze il giudice, tenuto conto delle circostanze, può ammettere qualsiasi mezzo di prova”.